Conferenza RSA 2019: perché i cybercriminali hanno bisogno del domain fronting

9 Apr 2019

Il domain fronting (una tecnica utilizzata per proteggersi dietro un dominio di terze parti) ha guadagnato notorietà quando si è saputo che Telegram lo ha utilizzato per evitare il blocco del Roskomnadzor,  l’organo russo di controllo di Internet. I rappresentanti del SANS Institute ne hanno parlato alla conferenza RSA 2019; per i cybercriminali, la tecnica non rappresenta un vettore di attacco, quanto un modo per prendere il controllo di un dispositivo infetto ed estrarre dati. Durante il suo intervento (di cui ci siamo già occupati in un precedente post), Ed Skoudis ha descritto un piano d’azione tipico di quei cybercriminali che cercano di nascondersi “dietro una cortina di fumo”.

Gli attacchi APT più complessi vengono identificati nel momento in cui avviene lo scambio di informazioni con il server command. Gli scambi improvvisi tra un computer all’interno di una rete aziendale e un dispositivo esterno sconosciuto sono un segnale d’allarme che richiedono una risposta tempestiva del team di sicurezza informatica. Ecco perché i cybercriminali fanno di tutto per camuffare questo tipo di comunicazioni e, per raggiungere questo scopo, diventa sempre più comune utilizzare diverse CDN (Content Delivery Network).

L’algoritmo descritto da Skoudis funziona più o meno così:

  1. Nella rete aziendale c’è un computer infettato da un malware;
  2. Il dispositivo invia una query DNS da una CDN affidabile a un sito trasparente e affidabile;
  3. Il cybercriminale, anch’esso client della stessa CDN, tiene lì il suo sito;
  4. Il computer infettato stabilisce una connessione TLS cifrata con il sito di fiducia;
  5. All’interno della connessione, il malware elabora una query HTTP 1.1 rivolta al server web del cybercriminale che si trova nella stessa CDN;
  6. Il sito inoltra la query ai server del malware;
  7. Si stabilisce così il canale di comunicazione.

Gli specialisti in sicurezza informatica che si occupano della rete aziendale vedono solamente una comunicazione con un sito sicuro da una CDN conosciuta attraverso un canale cifrato, in quanto per loro la CDN (ovvero il client dell’azienda) fa parte della rete di fiducia. Grande errore purtroppo.

Per Skoudis, si tratta di una tendenza molto pericolosa. Il domain fronting è una pratica spiacevole ma che può essere gestita; il problema è che i cybercriminali si stanno già avventurando verso le tecnologie su cloud. In teoria, possono creare catene di CDN e nascondere le proprie attività grazie ai servizi su cloud, una sorta di “riciclaggio della connessione”. Le probabilità che una CDN blocchi un’altra per questioni di sicurezza sono pari a zero, e quindi quasi sicuramente ci saranno delle conseguenze spiacevoli.

Per contrastare trucchetti di questo genere, Skoudis consiglia di avvalersi delle tecniche di intercettazione della TLS. Ma soprattutto bisogna essere coscienti del fatto che situazioni di questo genere possono capitare ed è necessario tenere in considerazione questo vettore di attacco su cloud nel threat modeling.

Gli esperti di Kaspersky Lab hanno esperienza con trucchi dannosi di questo tipo. La nostra soluzione Threat Management and Defense è in grado di individuare tali canali di comunicazione ed evidenziare una possibile attività dannosa.