{"id":17152,"date":"2019-04-09T11:57:06","date_gmt":"2019-04-09T09:57:06","guid":{"rendered":"https:\/\/www.kaspersky.it\/blog\/?p=17152"},"modified":"2019-11-22T10:54:30","modified_gmt":"2019-11-22T08:54:30","slug":"domain-fronting-rsa2019","status":"publish","type":"post","link":"https:\/\/www.kaspersky.it\/blog\/domain-fronting-rsa2019\/17152\/","title":{"rendered":"Conferenza RSA 2019: perch\u00e9 i cybercriminali hanno bisogno del domain fronting"},"content":{"rendered":"

Il domain fronting (una tecnica utilizzata per proteggersi dietro un dominio di terze parti) ha guadagnato notoriet\u00e0 quando si \u00e8 saputo che Telegram<\/a> lo ha utilizzato per evitare il blocco del Roskomnadzor,\u00a0 l\u2019organo russo di controllo di Internet. I rappresentanti del SANS Institute ne hanno parlato alla conferenza RSA 2019; per i cybercriminali, la tecnica non rappresenta un vettore di attacco, quanto un modo per prendere il controllo di un dispositivo infetto ed estrarre dati. Durante il suo intervento (di cui ci siamo gi\u00e0 occupati in un precedente post<\/a>), Ed Skoudis ha descritto un piano d\u2019azione tipico di quei cybercriminali che cercano di nascondersi \u201cdietro una cortina di fumo\u201d.<\/p>\n

Gli attacchi APT pi\u00f9 complessi vengono identificati nel momento in cui avviene lo scambio di informazioni con il server command. Gli scambi improvvisi tra un computer all\u2019interno di una rete aziendale e un dispositivo esterno sconosciuto sono un segnale d\u2019allarme che richiedono una risposta tempestiva del team di sicurezza informatica. Ecco perch\u00e9 i cybercriminali fanno di tutto per camuffare questo tipo di comunicazioni e, per raggiungere questo scopo, diventa sempre pi\u00f9 comune utilizzare diverse CDN (Content Delivery Network).<\/a><\/p>\n

L\u2019algoritmo descritto da Skoudis funziona pi\u00f9 o meno cos\u00ec:<\/p>\n

    \n
  1. Nella rete aziendale c\u2019\u00e8 un computer infettato da un malware;<\/li>\n
  2. Il dispositivo invia una query DNS da una CDN affidabile a un sito trasparente e affidabile;<\/li>\n
  3. Il cybercriminale, anch\u2019esso client della stessa CDN, tiene l\u00ec il suo sito;<\/li>\n
  4. Il computer infettato stabilisce una connessione TLS cifrata con il sito di fiducia;<\/li>\n
  5. All\u2019interno della connessione, il malware elabora una query HTTP 1.1 rivolta al server web del cybercriminale che si trova nella stessa CDN;<\/li>\n
  6. Il sito inoltra la query ai server del malware;<\/li>\n
  7. Si stabilisce cos\u00ec il canale di comunicazione.<\/li>\n<\/ol>\n

    Gli specialisti in sicurezza informatica che si occupano della rete aziendale vedono solamente una comunicazione con un sito sicuro da una CDN conosciuta attraverso un canale cifrato, in quanto per loro la CDN (ovvero il client dell\u2019azienda) fa parte della rete di fiducia. Grande errore purtroppo.<\/p>\n

    \"\"<\/p>\n

    Per Skoudis, si tratta di una tendenza molto pericolosa. Il domain fronting \u00e8 una pratica spiacevole ma che pu\u00f2 essere gestita; il problema \u00e8 che i cybercriminali si stanno gi\u00e0 avventurando verso le tecnologie su cloud. In teoria, possono creare catene di CDN e nascondere le proprie attivit\u00e0 grazie ai servizi su cloud, una sorta di \u201criciclaggio della connessione\u201d. Le probabilit\u00e0 che una CDN blocchi un\u2019altra per questioni di sicurezza sono pari a zero, e quindi quasi sicuramente ci saranno delle conseguenze spiacevoli.<\/p>\n

    Per contrastare trucchetti di questo genere, Skoudis consiglia di avvalersi delle tecniche di intercettazione della TLS. Ma soprattutto bisogna essere coscienti del fatto che situazioni di questo genere possono capitare ed \u00e8 necessario tenere in considerazione questo vettore di attacco su cloud nel threat modeling<\/em>.<\/p>\n

    Gli esperti di Kaspersky Lab hanno esperienza con trucchi dannosi di questo tipo. La nostra soluzione Threat Management and Defense<\/a> \u00e8 in grado di individuare tali canali di comunicazione ed evidenziare una possibile attivit\u00e0 dannosa.<\/p>\n","protected":false},"excerpt":{"rendered":"

    Durante la conferenza RSA 2019 abbiamo appreso come il domain fronting viene utilizzato per camuffare le comunicazioni tra un dispositivo infetto e un server command. <\/p>\n","protected":false},"author":700,"featured_media":17153,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"footnotes":""},"categories":[2364,2955,12],"tags":[1190,3112,3095,3087,1883,2826],"class_list":{"0":"post-17152","1":"post","2":"type-post","3":"status-publish","4":"format-standard","5":"has-post-thumbnail","7":"category-business","8":"category-enterprise","9":"category-news","10":"tag-attacchi-informatici","11":"tag-cdn","12":"tag-rsa-conference","13":"tag-rsa2019","14":"tag-rsac","15":"tag-tls"},"hreflang":[{"hreflang":"it","url":"https:\/\/www.kaspersky.it\/blog\/domain-fronting-rsa2019\/17152\/"},{"hreflang":"en-in","url":"https:\/\/www.kaspersky.co.in\/blog\/domain-fronting-rsa2019\/15577\/"},{"hreflang":"en-ae","url":"https:\/\/me-en.kaspersky.com\/blog\/domain-fronting-rsa2019\/13122\/"},{"hreflang":"en-us","url":"https:\/\/usa.kaspersky.com\/blog\/domain-fronting-rsa2019\/17498\/"},{"hreflang":"en-gb","url":"https:\/\/www.kaspersky.co.uk\/blog\/domain-fronting-rsa2019\/15648\/"},{"hreflang":"es-mx","url":"https:\/\/latam.kaspersky.com\/blog\/domain-fronting-rsa2019\/14337\/"},{"hreflang":"es","url":"https:\/\/www.kaspersky.es\/blog\/domain-fronting-rsa2019\/18219\/"},{"hreflang":"ru","url":"https:\/\/www.kaspersky.ru\/blog\/domain-fronting-rsa2019\/22571\/"},{"hreflang":"tr","url":"https:\/\/www.kaspersky.com.tr\/blog\/domain-fronting-rsa2019\/5881\/"},{"hreflang":"x-default","url":"https:\/\/www.kaspersky.com\/blog\/domain-fronting-rsa2019\/26352\/"},{"hreflang":"fr","url":"https:\/\/www.kaspersky.fr\/blog\/domain-fronting-rsa2019\/11618\/"},{"hreflang":"pt-br","url":"https:\/\/www.kaspersky.com.br\/blog\/domain-fronting-rsa2019\/11686\/"},{"hreflang":"de","url":"https:\/\/www.kaspersky.de\/blog\/domain-fronting-rsa2019\/18978\/"},{"hreflang":"ja","url":"https:\/\/blog.kaspersky.co.jp\/domain-fronting-rsa2019\/23020\/"},{"hreflang":"ru-kz","url":"https:\/\/blog.kaspersky.kz\/domain-fronting-rsa2019\/18224\/"},{"hreflang":"en-au","url":"https:\/\/www.kaspersky.com.au\/blog\/domain-fronting-rsa2019\/22430\/"},{"hreflang":"en-za","url":"https:\/\/www.kaspersky.co.za\/blog\/domain-fronting-rsa2019\/22366\/"}],"acf":[],"banners":"","maintag":{"url":"https:\/\/www.kaspersky.it\/blog\/tag\/rsac\/","name":"RSAC"},"_links":{"self":[{"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/posts\/17152","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/users\/700"}],"replies":[{"embeddable":true,"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/comments?post=17152"}],"version-history":[{"count":3,"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/posts\/17152\/revisions"}],"predecessor-version":[{"id":18472,"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/posts\/17152\/revisions\/18472"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/media\/17153"}],"wp:attachment":[{"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/media?parent=17152"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/categories?post=17152"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/tags?post=17152"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}