RSAC 2019: So machen sich Cyberkriminelle Domain Fronting zunutze

So verwenden Angreifer die Technik Domain Fronting, um Kommunikationen zwischen infizierten Geräten und Command-Servern zu verschleiern.

Domain Fronting – eine Technik zur Verschleierung der Domain einer HTTPS-Verbindung – rückte erstmals ins Rampenlicht, nachdem sich Telegram diese Technik zunutze gemacht hatte, um eine Blockierung der russischen Internet-Regulierungsbehörde Roskomnadzor zu verhindern. Auf der diesjährigen RSA-Konferenz 2019 befassten sich Referenten des SANS-Instituts mit dem Thema. Für Angreifer handelt es sich bei diesem Schema um eine Möglichkeit, die Kontrolle über infizierte Computer zu erlangen und gestohlene Daten herauszufiltern. Ed Skoudis, über dessen Bericht zum Thema DNS-Manipulation wir bereits in diesem Beitrag gesprochen haben, beschreibt einen Handlungsplan, der typisch für Cyberkriminelle ist, die versuchen, unentdeckt „in den Wolken“ zu verschwinden.

Ein Großteil der komplexen APT-Angriffe wird beim Informationsaustausch mit dem Command-Server erkannt. Der plötzliche Austausch zwischen einem Computer innerhalb eines Unternehmensnetzwerks und einem unbekannten externen Gerät ist ein Weckruf, der im Normalfall eine Reaktion des IS-Teams auslöst – aus diesem Grund versuchen Cyberkriminelle diese Kommunikation auf Biegen und Brechen zu verbergen. Dafür werden immer häufiger unterschiedliche Content Delivery Networks (CDNs) verwendet.

Der von Skoudis beschriebene Algorithmus funktioniert folgendermaßen:

  1. Im Unternehmensnetzwerk befindet sich ein mit Malware infizierter Computer.
  2. Das Gerät sendet eine DNS-Anfrage von einem vertrauenswürdigen CDN an eine vertrauenswürdige Website.
  3. Der Angreifer, ebenfalls Client desselben CDNs, hostet seine Website dort.
  4. Der infizierte Computer stellt eine verschlüsselte TLS-Verbindung zu der vertrauenswürdigen Website her.
  5. Innerhalb dieser Verbindung bildet die Malware eine HTTP 1.1-Anfrage, die den Web-Server des Angreifers im selben CDN anspricht.
  6. Die Website leitet diese Anfrage an ihre Malware-Server weiter.
  7. Der Kommunikationskanal ist hergestellt.

Für die für das Unternehmensnetzwerk verantwortlichen IS-Spezialisten erscheint dies als Kommunikation mit einer sicheren Website von einem bekannten CDN durch einen verschlüsselten Kanal, da sie das CDN als Teil des vertrauenswürdigen Netzwerks behandeln. Doch das ist ein großer Fehler.

Skoudis zufolge sind das die Symptome eines extrem gefährlichen Trends. Domain Fronting ist zwar unerfreulich, dafür aber überschaulich und handhabbar. Das Gefährliche daran ist jedoch, dass sich Kriminelle bereits ihre Wege in Cloud-Technologien suchen. Theoretisch können sie CDN-Ketten erstellen und ihre Aktivitäten problemlos hinter Cloud-Diensten verstecken, um auf diese Weise eine Art „Verbindungswäsche“ zu betreiben. Die Wahrscheinlichkeit, dass ein CDN ein anderes aus Sicherheitsgründen blockiert, liegen sozusagen bei null – also eine sichere Gefahr für Ihr Unternehmen.

Um mit derartigen Tricks angemessen umzugehen und die Onlinesicherheit weiterhin zu gewährleisten, empfiehlt Skoudis die Verwendung von TLS-Abfangtechniken. Das Wichtigste ist jedoch, im Hinterkopf zu behalten, dass es zu derartigen Vorfällen kommen kann und diesen Cloud-Angriffsvektor bei der Bedrohungsmodellierung zu berücksichtigen.

Auch unsere Experten von Kaspersky Lab haben Erfahrungen mit solchen Tricks gemacht. Glücklicherweise kann unsere Sicherheitslösung Threat Management and Defense derartige Kommunikationskanäle aufspüren und mögliche schädliche Aktivitäten aufzeigen.

Tipps