RSAC 2019 : pourquoi les pirates informatiques ont besoin du domain fronting

17 Avr 2019

Le domain fronting, une méthode utilisée pour se protéger derrière un domaine tiers, est sous le feu des projecteurs depuis que Telegram s’en est servi pour éviter d’être bloqué par Roskomnadzor, le régulateur d’Internet en Russie. Cette fois, ce sont les membres du SANS Institute qui ont parlé du sujet lors de la conférence RSA. Pour les pirates informatiques cette technique n’est pas un vecteur d’attaque, mais plutôt une façon de contrôler l’ordinateur infecté et d’exfiltrer les données volées. Ed Skoudis a décrit, dans le rapport dont nous avons déjà parlé, un plan d’action que les cybercriminels ont tendance à utiliser pour « disparaître dans les Cloud ».

Les attaques APT les plus complexes sont détectées lorsqu’elles échangent des données avec le serveur de commande. Ces échanges soudains entre un ordinateur du réseau interne de l’entreprise et une machine externe inconnue sont un avertissement qui va sûrement amener l’équipe IT à réagir. C’est pourquoi les cybercriminels sont fermement résolus à cacher ces communications. Il est de plus en plus courant d’utiliser plusieurs réseaux de diffusion de contenu (CDNs) pour mener à bien cette action.

L’algorithme décrit par Skoudis ressemble à cela :

  1. Un ordinateur du réseau de l’entreprise est infecté par un malware.
  2. Cette machine envoie une requête DNS à un site Internet irréprochable et fiable à partir d’un CDN de confiance.
  3. Le pirate informatique, qui est un client du même CDN, héberge son site Internet au même endroit.
  4. L’ordinateur infecté établi une connexion TLS chiffrée avec le site Internet de confiance.
  5. Au cours de cette connexion, le malware envoie une requête HTTP 1.1 pour s’occuper du serveur Web du pirate informatique qui se trouve dans le même CDN.
  6. Le site Internet transmet la requête aux serveurs du malware.
  7. Le canal de communication est instauré.

Pour les spécialistes des technologies de l’information responsables du réseau de l’entreprise, tous ces échanges semblent avoir lieu avec un site Internet sûr, à partir d’un CDN connu, et passeraient par un canal chiffré, puisqu’ils considèrent que le CDN, client de l’entreprise, fait partie de leur réseau de confiance. C’est une grosse erreur.

Selon Skoudis, les symptômes décrits ci-dessus sont ceux d’une tendance extrêmement dangereuse. Le domain fronting est désagréable mais gérable. Le danger est que les criminels s’aventurent déjà dans les technologies Cloud. En théorie, ils peuvent créer des chaînes de CDN et cacher tranquillement leurs activités derrière les services Cloud, et ainsi organiser un « blanchiment de connexion ». La probabilité qu’un CDN en bloque un autre pour des raisons de sécurité est pratiquement nulle. Cela endommagerait certainement l’entreprise.

Pour faire face à genre de méthodes, Skoudis conseille d’employer des techniques d’interception TLS. Il est particulièrement important de savoir que vous pouvez vous retrouver dans cette situation, et de ne pas oublier ce vecteur d’attaque sur le Cloud lorsque vous modélisez les menaces.

Les experts de Kaspersky Lab connaissent aussi très bien ces astuces malveillantes. Notre solution Threat Management and Defense peut détecter ces canaux de communication et révéler une éventuelle activité malveillante.