O Domain fronting – método utilizado especialmente por hackers para se protegerem em domínios de terceiros – ficou em evidência depois que o Telegram o usou para evitar ser bloqueado pelo Roskomnadzor, regulador de Internet russo. A aplicação da técnica foi parte de uma das discussões promovidas pelos pesquisadores do Instituto SANS na Conferência RSA 2019. Para os cibercriminosos, o esquema não é um vetor de ataque, mas uma maneira de controlar um computador infectado e extrair dados. Ed Skoudis, cujo estudo sobre manipulação de DNS já falamos em publicações anteriores, descreveu um plano de ação típico dos cibercriminosos que querem “desaparecer nas nuvens”.
A detecção da maioria dos ataques de APT ocorre durante a troca de informações com o servidor de comando. Transmissões súbitas entre um computador de uma rede corporativa e uma máquina externa desconhecida é sinal de alarme, o que certamente irá desencadear uma resposta da equipe de segurança da informação, e, é por isso que os cibercriminosos decidem esconder essas comunicações. Portanto, para esse tipo de golpe é cada vez mais comum usar redes de distribuição de conteúdo (CDNs na sigla em inglês).
O algoritmo descrito por Skoudis é o seguinte:
- Existe um computador infectado por malware na rede corporativa.
- Este dispositivo envia uma solicitação de DNS para um site verdadeiro e transparente de uma CDN confiável.
- Os cibercriminosos, também clientes desta CDN, hospedam um site malicioso lá.
- O computador infectado estabelece uma conexão TLS criptografada com o site confiável.
- Nesse contexto, o malware faz uma solicitação HTTP 1.1 que vai para o servidor da web do invasor na mesma CDN.
- O site renova a solicitação para seus servidores de malware.
- O canal de comunicação é estabelecido.
Para os especialistas de segurança responsáveis pela rede corporativa, este ciberataque parece ser uma comunicação com um site seguro de uma CDN conhecida e por meio de um canal criptografado, afinal, consideram a CDN, da qual a empresa é também cliente, como parte de uma rede confiável. Mas tudo isso é um erro.
Segundo Skoudis, estes são os sintomas de uma armadilha muito perigosa. O domain fronting não é agradável, mas pode ser gerenciado. A parte mais arriscada desta questão é que os cibercriminosos estão se aprofundando nas tecnologias de nuvem. Em teoria, eles podem criar canais nas CDNs e ocultar suas atividades a partir de serviços em nuvem, viabilizando assim uma “maquiagem na conexão”. A probabilidade de uma CDN bloquear outra por razões de segurança é praticamente nula e prejudicaria seriamente seu negócio.
Para lidar com esses tipos de problemas de segurança online, Skoudis recomenda o uso de técnicas de interceptação TLS. Mas o principal é estar ciente desse cenário e não esquecer desse vetor de ataque na nuvem quando estiver modelando as ameaças.
Os especialistas da Kaspersky Lab também têm experiência com este tipo de estratégia perigosa. Nossa solução de segurança Threat Management and Defense pode detectar esses canais de comunicação e destacar possíveis atividades maliciosas.