{"id":18978,"date":"2019-04-09T12:56:58","date_gmt":"2019-04-09T10:56:58","guid":{"rendered":"https:\/\/www.kaspersky.de\/blog\/?p=18978"},"modified":"2019-11-22T12:07:49","modified_gmt":"2019-11-22T10:07:49","slug":"domain-fronting-rsa2019","status":"publish","type":"post","link":"https:\/\/www.kaspersky.de\/blog\/domain-fronting-rsa2019\/18978\/","title":{"rendered":"RSAC 2019: So machen sich Cyberkriminelle Domain Fronting zunutze"},"content":{"rendered":"

Domain Fronting<\/em> \u2013 eine Technik zur Verschleierung der Domain einer HTTPS-Verbindung \u2013 r\u00fcckte erstmals ins Rampenlicht, nachdem sich\u00a0Telegram diese Technik zunutze gemacht hatte<\/a>, um eine Blockierung der russischen Internet-Regulierungsbeh\u00f6rde Roskomnadzor<\/em> zu verhindern. Auf der diesj\u00e4hrigen RSA-Konferenz 2019<\/strong> befassten sich Referenten des SANS-Instituts mit dem Thema. F\u00fcr Angreifer handelt es sich bei diesem Schema um eine M\u00f6glichkeit, die Kontrolle \u00fcber infizierte Computer zu erlangen und gestohlene Daten herauszufiltern. Ed Skoudis, \u00fcber dessen Bericht zum Thema DNS-Manipulation<\/strong> wir bereits in diesem Beitrag gesprochen haben<\/a>, beschreibt einen Handlungsplan, der typisch f\u00fcr Cyberkriminelle ist, die versuchen, unentdeckt \u201ein den Wolken\u201c zu verschwinden.<\/p>\n

Ein Gro\u00dfteil der komplexen APT-Angriffe<\/strong> wird beim Informationsaustausch mit dem Command-Server erkannt. Der pl\u00f6tzliche Austausch zwischen einem Computer innerhalb eines Unternehmensnetzwerks und einem unbekannten externen Ger\u00e4t ist ein Weckruf, der im Normalfall eine Reaktion des IS-Teams ausl\u00f6st \u2013 aus diesem Grund versuchen Cyberkriminelle<\/strong> diese Kommunikation auf Biegen und Brechen zu verbergen. Daf\u00fcr werden immer h\u00e4ufiger unterschiedliche Content Delivery Networks (CDNs)<\/a><\/em>\u00a0verwendet.<\/p>\n

Der von Skoudis beschriebene Algorithmus funktioniert folgenderma\u00dfen:<\/p>\n

    \n
  1. Im Unternehmensnetzwerk befindet sich ein mit Malware infizierter Computer<\/strong>.<\/li>\n
  2. Das Ger\u00e4t sendet eine DNS-Anfrage von einem vertrauensw\u00fcrdigen CDN an eine vertrauensw\u00fcrdige Website.<\/li>\n
  3. Der Angreifer, ebenfalls Client desselben CDNs, hostet seine Website dort.<\/li>\n
  4. Der infizierte Computer stellt eine verschl\u00fcsselte TLS-Verbindung zu der vertrauensw\u00fcrdigen Website her.<\/li>\n
  5. Innerhalb dieser Verbindung bildet die Malware eine HTTP 1.1-Anfrage, die den Web-Server des Angreifers im selben CDN anspricht.<\/li>\n
  6. Die Website leitet diese Anfrage an ihre Malware-Server weiter.<\/li>\n
  7. Der Kommunikationskanal ist hergestellt.<\/li>\n<\/ol>\n

    \"\"<\/p>\n

    F\u00fcr die f\u00fcr das Unternehmensnetzwerk verantwortlichen IS-Spezialisten erscheint dies als Kommunikation mit einer sicheren Website von einem bekannten CDN durch einen verschl\u00fcsselten Kanal, da sie das CDN als Teil des vertrauensw\u00fcrdigen Netzwerks behandeln. Doch das ist ein gro\u00dfer Fehler.<\/p>\n

    Skoudis zufolge sind das die Symptome eines extrem gef\u00e4hrlichen Trends. Domain Fronting<\/em><\/strong> ist zwar unerfreulich, daf\u00fcr aber \u00fcberschaulich und handhabbar. Das Gef\u00e4hrliche daran ist jedoch, dass sich Kriminelle bereits ihre Wege in Cloud-Technologien suchen. Theoretisch k\u00f6nnen sie CDN-Ketten erstellen und ihre Aktivit\u00e4ten problemlos hinter Cloud-Diensten verstecken, um auf diese Weise eine Art \u201eVerbindungsw\u00e4sche\u201c zu betreiben. Die Wahrscheinlichkeit, dass ein CDN ein anderes aus Sicherheitsgr\u00fcnden blockiert, liegen sozusagen bei null \u2013 also eine sichere Gefahr f\u00fcr Ihr Unternehmen.<\/p>\n

    Um mit derartigen Tricks angemessen umzugehen und die Onlinesicherheit<\/strong> weiterhin zu gew\u00e4hrleisten, empfiehlt Skoudis die Verwendung von TLS-Abfangtechniken. Das Wichtigste ist jedoch, im Hinterkopf zu behalten, dass es zu derartigen Vorf\u00e4llen kommen kann und diesen Cloud-Angriffsvektor bei der Bedrohungsmodellierung zu ber\u00fccksichtigen.<\/p>\n

    Auch unsere Experten von Kaspersky Lab haben Erfahrungen mit solchen Tricks gemacht. Gl\u00fccklicherweise kann unsere Sicherheitsl\u00f6sung Threat Management and Defense<\/a><\/strong>\u00a0derartige Kommunikationskan\u00e4le aufsp\u00fcren und m\u00f6gliche sch\u00e4dliche Aktivit\u00e4ten aufzeigen.<\/p>\n","protected":false},"excerpt":{"rendered":"

    So verwenden Angreifer die Technik Domain Fronting, um Kommunikationen zwischen infizierten Ger\u00e4ten und Command-Servern zu verschleiern.<\/p>\n","protected":false},"author":700,"featured_media":18980,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"footnotes":""},"categories":[6],"tags":[3275,3027,2424,3244,1434,439],"class_list":{"0":"post-18978","1":"post","2":"type-post","3":"status-publish","4":"format-standard","5":"has-post-thumbnail","7":"category-news","8":"tag-cdn","9":"tag-cyberangriffe","10":"tag-rsa-konferenz","11":"tag-rsa2019","12":"tag-rsac","13":"tag-tls"},"hreflang":[{"hreflang":"de","url":"https:\/\/www.kaspersky.de\/blog\/domain-fronting-rsa2019\/18978\/"},{"hreflang":"en-in","url":"https:\/\/www.kaspersky.co.in\/blog\/domain-fronting-rsa2019\/15577\/"},{"hreflang":"en-ae","url":"https:\/\/me-en.kaspersky.com\/blog\/domain-fronting-rsa2019\/13122\/"},{"hreflang":"en-us","url":"https:\/\/usa.kaspersky.com\/blog\/domain-fronting-rsa2019\/17498\/"},{"hreflang":"en-gb","url":"https:\/\/www.kaspersky.co.uk\/blog\/domain-fronting-rsa2019\/15648\/"},{"hreflang":"es-mx","url":"https:\/\/latam.kaspersky.com\/blog\/domain-fronting-rsa2019\/14337\/"},{"hreflang":"es","url":"https:\/\/www.kaspersky.es\/blog\/domain-fronting-rsa2019\/18219\/"},{"hreflang":"it","url":"https:\/\/www.kaspersky.it\/blog\/domain-fronting-rsa2019\/17152\/"},{"hreflang":"ru","url":"https:\/\/www.kaspersky.ru\/blog\/domain-fronting-rsa2019\/22571\/"},{"hreflang":"tr","url":"https:\/\/www.kaspersky.com.tr\/blog\/domain-fronting-rsa2019\/5881\/"},{"hreflang":"x-default","url":"https:\/\/www.kaspersky.com\/blog\/domain-fronting-rsa2019\/26352\/"},{"hreflang":"fr","url":"https:\/\/www.kaspersky.fr\/blog\/domain-fronting-rsa2019\/11618\/"},{"hreflang":"pt-br","url":"https:\/\/www.kaspersky.com.br\/blog\/domain-fronting-rsa2019\/11686\/"},{"hreflang":"ja","url":"https:\/\/blog.kaspersky.co.jp\/domain-fronting-rsa2019\/23020\/"},{"hreflang":"ru-kz","url":"https:\/\/blog.kaspersky.kz\/domain-fronting-rsa2019\/18224\/"},{"hreflang":"en-au","url":"https:\/\/www.kaspersky.com.au\/blog\/domain-fronting-rsa2019\/22430\/"},{"hreflang":"en-za","url":"https:\/\/www.kaspersky.co.za\/blog\/domain-fronting-rsa2019\/22366\/"}],"acf":[],"banners":"","maintag":{"url":"https:\/\/www.kaspersky.de\/blog\/tag\/rsac\/","name":"RSAC"},"_links":{"self":[{"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/posts\/18978","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/users\/700"}],"replies":[{"embeddable":true,"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/comments?post=18978"}],"version-history":[{"count":6,"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/posts\/18978\/revisions"}],"predecessor-version":[{"id":20866,"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/posts\/18978\/revisions\/20866"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/media\/18980"}],"wp:attachment":[{"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/media?parent=18978"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/categories?post=18978"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/tags?post=18978"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}