IT学习网 - 爱学习 - 最具影响力综合资讯网站 -- 中国IT界的领航者!
热门关键字:      88888  as  xxx
站外
广告
站外
广告

域名前置(Domain Fronting)

发布时间:2017-07-22 22:57文章来源:互联网文章作者: 佚名点击次数:
作者: { XHJ, Anice }@ArkTeam 1 前言概述 域名前置(Domain Fronting)的设计初衷是逃避网络审查,但因其良好的网络穿透性,很适合应用于APT/Malware远控之中。本文用M代表普通的Malware,DFM代表支持Domain Fronting的Malware,cc.com代表由攻击者控制的C

作者:{ XHJ, Anice }@ArkTeam

1 前言概述

域名前置(Domain Fronting)的设计初衷是逃避网络审查,但因其良好的网络穿透性,很适合应用于APT/Malware远控之中。本文用M代表普通的Malware,DFM代表支持Domain Fronting的Malware,cc.com代表由攻击者控制的C&C服务器域名,S代表部署在网络边界的内容审查系统/异常检测系统等安全设备。

2 恶意代码远控模型

图1.1 M运行流程(1)

M运行时会直接联系硬编码的C&C服务器(cc.com)。一般情况下,cc.com是一个十分生僻的域名(多数知名APT事实上都在访问生僻域名),此时,部署在网络边界的S可能会发现该异常流量进而进行预警或阻断。而且,随着S智能化程度的提高,检出能力也与日俱增。一旦cc.com被阻断,M便会失控。即便M支持Domain flux(ArkName即将推出),可生成cc2.com、cc3.com,面临的命运也并无两样。

图1.2 M运行流程(2)

为绕过S的限制,攻击者可通过白名单服务(如Google App Engine、Amazon)来转发客户端M和C&C服务器之间的流量。以Google App Engine为例,攻击者需配置生成一个以appspot.com结尾的子域名(如test.appspot.com),再部署一个Web程序用于转发流量,该Web程序会硬编码“cc.com”字符串。这样,所有发往test.appspot.com的流量都会被Web程序转发给cc.com。因此,对于客户端M来说,可通过test.appspot.com与cc.com取得联系。然而,当S发现test.appspot.com存在恶意行为时,依然可将其添加到黑名单之中,问题并未得到有效解决。

3 支持Domain Fronting的恶意代码远控模型


域名前置(Domain Fronting)
本文由 IT学习网 整理,转载请注明“转自IT学习网”,并附上链接。
原文链接:http://www.ourlove520.com/Article/others/IT/1013544.html

标签分类:

上一篇:上一篇:Let’s do Yoga! 瑜伽与信息安全竟然有如此的相似性
下一篇: 下一篇:没有了
无觅关联推荐,快速提升流量