安全廠商FireEye公司正繼續(xù)對APT29組織進行追蹤(又名The Dukes、舒適熊以及Cozy Duke),并于本周一透露稱,該網(wǎng)絡(luò)間諜集團曾經(jīng)利用一種名為“域名前移(domain fronting)”的技術(shù)提升對攻擊活動進行歸因的難度。
去年12月,Signal開發(fā)團隊正式介紹了“域名前移”這一能夠用于逃避審查機制的技術(shù)。
然而令人驚訝的是,APT29組織早在很久之前就已經(jīng)開始使用此類技術(shù),而當(dāng)時IT安全社區(qū)對此幾乎一無所知。
所謂域名前移技術(shù),是一種依賴在不同應(yīng)用層使用不同域名的方式逃避審查的技術(shù)手段。
根據(jù)加利福尼亞大學(xué)伯克利分校、Psiphon以及Brave New Software公司的研究人員們聯(lián)合發(fā)表的一篇論文所言,域名前移技術(shù)能夠“隱藏通信中的遠(yuǎn)程端點。域名前移作為應(yīng)用層起效,其利用HTTPS與違禁主機進行通信,但表面上看起來卻是在與其它主機通信,從而逃避安全審查。”
這份論文同時解釋稱,“其核心思路在于立足多個不同通信層使用不同域名。其中一個域名用于在HTTPS請求之外進行顯示——即存在于DNS請求與TLS服務(wù)器名指示當(dāng)中——而另一域名則為內(nèi)部真實存在,即包含于HTTP主機標(biāo)頭內(nèi)且受HTTPS加密保護而無法被審查機制所發(fā)現(xiàn)。在這種情況下,審查機制將無法判斷指向該域名的前移及未前移流量,因此只能選擇完全允許全部流量或者徹底屏蔽該域名——這無疑會造成昂貴的附加損害。”
這項域名前移技術(shù)易于部分及使用,且不需要由網(wǎng)絡(luò)中繼機制進行特殊操作。
APT29組織至少在兩年之前就已經(jīng)開始使用域名前移技術(shù),黑客們利用Tor網(wǎng)絡(luò)與受感染設(shè)備進行通信。為了將Tor流量偽造為合法流量,這群網(wǎng)絡(luò)犯罪分子使用了Meek——一款專門用于實現(xiàn)域名前移技術(shù)的Tor插件,其允許用戶在一條指向google.com的看似無害HTTPS POST請求內(nèi)發(fā)送實際指向Tor的流量。
FireEye公司發(fā)布的分析報告指出,“APT29The Onion Router(簡稱TOR)與TOR域名前移插件meek以創(chuàng)建一條隱藏的加密網(wǎng)絡(luò)隧道,且后者看似是在通過TLS接入谷歌服務(wù)。這條隧道能夠為攻擊者提供利用終端服務(wù)(簡稱TS)、NetBIOS以及Server Message Block(簡稱SMB)服務(wù)對主機系統(tǒng)的遠(yuǎn)程訪問能力,同時其流量看似指向合法網(wǎng)站。攻擊者亦利用一項常見的Windows安全漏洞以在未經(jīng)身份驗證的情況下訪問高權(quán)限命令shell。”
攻擊者們利用一套PowerShell腳本外加一個.bat文件在目標(biāo)系統(tǒng)上安裝Tor客戶端與Meek插件。
APT29組織利用Sticky Keys漏洞替換合法的Windows命令提示符(即cmd.exe)可執(zhí)行文件,并在目標(biāo)系統(tǒng)上獲取一條具備SYSTEM級別權(quán)限的shell。通過這種方式,攻擊者們得以執(zhí)行其它多項命令,其中包括添加新的帳戶。
分析報告進一步介紹稱,“攻擊者執(zhí)行Powershell腳本C:Program Files(x86)Googlestart.ps1以安裝TOR服務(wù)并實現(xiàn)‘Sticky Keys’漏洞。此套腳本在執(zhí)行后即被刪除,且不可恢復(fù)。”
這套負(fù)責(zé)執(zhí)行Sticky Keys漏洞的腳本亦被用于在目標(biāo)設(shè)備上實現(xiàn)持久駐留,其會創(chuàng)建一項名為“Google Update”的Windows服務(wù)。
分析報告總結(jié)稱,“通過采用這種公開的實現(xiàn)方案,他們能夠隱藏自己的網(wǎng)絡(luò)流量、最大程度降低研發(fā)需求并使用多種難于歸因的入侵工具。要在網(wǎng)絡(luò)之上成功檢測到此類活動,需要查看TLS連接并檢查實際網(wǎng)絡(luò)簽名。”