Domena uzyskująca dostęp do Twojej sieci może nie być tym, czym się wydaje. Fronting domeny pozwala atakującemu przekraść się z pozornie legalnego źródła.

Mówią, że na wojnie wszystko jest sprawiedliwe. Cyberprzestępcy robią wszystko, aby wygrać cyberwojnę, wdrażając wszelkie możliwe środki w celu zaatakowania niczego niepodejrzewających ofiar w celu wydobycia ich danych. Wdrażają największe oszustwa, aby ukryć swoją tożsamość i zaskoczyć Cię technikami, takimi jak ataki z przodu domeny.

Ta pozornie legalna domena uzyskująca dostęp do Twojej sieci może w końcu nie być legalna. Z tego co wiesz, atakujący może być na czele, aby umieścić cię w ciasnym rogu. Jest to tak zwany atak frontingu domeny. Czy jest coś, co możesz z tym zrobić?

Co to jest atak typu Domain Fronting?

W ramach regulacji Internetu niektóre kraje ograniczają obywatelom dostęp do określonych treści online i stron internetowych, blokując ruch dla użytkowników na swoim terytorium. Nie mogąc legalnie uzyskać dostępu do tych witryn z czarnej listy, niektórzy ludzie szukają nieautoryzowanych środków dostępu.

Fronting domeny to proces, w którym użytkownik ukrywa swoją domenę, aby uzyskać dostęp do witryny internetowej, której dostęp jest zabroniony w jego lokalizacji. Z drugiej strony atak frontingu domeny to proces polegający na atakowaniu sieci na legalną domenę za pomocą technik frontingu domeny.

Pierwotnie fronting domeny nie był środkiem cyberataku. Nieszkodliwi użytkownicy mogą go używać do ominięcia cenzury niektórych domen w ich lokalizacji. Na przykład w Chinach kontynentalnych, gdzie YouTube jest zabroniony, użytkownik może korzystać z usługi frontingu domeny, aby uzyskać dostęp do YouTube w nieszkodliwych celach rozrywkowych bez narażania niczyjego konta. Ale widząc, że jest to wygodny sposób na ominięcie kontroli bezpieczeństwa, cyberprzestępcy przejęli go dla swoich egoistycznych korzyści, stąd czynnik ataku.

Jak działa atak Domain Fronting?

Aby pokonać cenzurę w terenie, podmiot prowadzący domenę przyjmuje tożsamość legalnego użytkownika Internetu, zwykle takiego, który pochodzi z innej lokalizacji geograficznej. Sieć dostarczania treści (CDN), repozytorium serwerów proxy na całym świecie, odgrywa główną rolę w ataku z przodu domeny.

Gdy chcesz uzyskać dostęp do strony internetowej, uruchamiasz następujące żądania:

  1. DNS: Twoje urządzenie łączące się z Internetem ma adres IP. Ten adres jest unikalny i wyłącznie dla Twojego urządzenia. Kiedy próbujesz uzyskać dostęp do strony internetowej, ty zainicjować żądanie systemu nazw domen (DNS). który konwertuje nazwę domeny na adres IP.
  2. HTTP: Żądanie protokołu przesyłania hipertekstu (HTTP) łączy twoje żądanie dostępu z hipertekstami w sieci World Wide Web (WWW).
  3. TLS: Żądanie zabezpieczeń warstwy transportowej (TLS) konwertuje polecenia HTTP na HTTPS za pomocą szyfrowania i zabezpiecza dane wejściowe między przeglądarkami internetowymi a serwerami.

Zasadniczo DNS konwertuje nazwę domeny na adres IP, a adres IP działa w połączeniu HTTP lub HTTPS. Konwersja nazwy Twojej domeny na adres IP nie zmienia Twojej domeny; pozostaje taki sam. Ale w frontingu domeny, podczas gdy twoja domena pozostaje taka sama w DNS i TLS, zmienia się w HTTPS. Rekordy DNS pokazują legalną domenę, ale HTTPS przekierowuje do domeny zabronionej.

Na przykład mieszkasz w kraju, w którym witryna example.com jest zablokowana, ale mimo to chcesz uzyskać do niej dostęp. Twoim celem jest uzyskanie dostępu do example.com za pomocą legalnej witryny, takiej jak makeuseof.com. Żądania do Twojego DNS i TLS będą wskazywać makeuseof.com, ale twoje połączenie HTTPS będzie wskazywać na example.com.

Fronting domeny wykorzystuje zaawansowane zabezpieczenia HTTPS aby odnieść sukces. Ponieważ HTTPS jest szyfrowany, może ominąć protokoły bezpieczeństwa bez wykrycia.

Cyberprzestępcy wykorzystują powyższy scenariusz do przeprowadzania ataków z przodu domeny. Zamiast oferować legalną domenę w celu uzyskania dostępu do stron internetowych, do których dostęp jest ograniczony z powodu cenzury, tworzą legalną domenę w celu kradzieży danych i wykonywania powiązanych szkodliwych zadań.

Jak zapobiegać atakom typu Domain Fronting

Przeprowadzając ataki z przodu domeny, cyberprzestępcy atakują nie tylko legalne domeny, ale także wysoko w rankingu. A to dlatego, że takie domeny mają reputację autentycznych. Oczywiście nie masz powodu do podejrzeń, gdy zauważysz legalną domenę w swojej sieci.

Atakom z przodu domeny można zapobiegać na następujące sposoby.

Zainstaluj serwer proxy

A serwer proxy jest pośrednikiem lub pośrednikiem między Tobą (Twoim urządzeniem) a Internetem. Jest to system bezpieczeństwa, który uniemożliwia użytkownikom bezpośredni dostęp do Internetu, zwłaszcza że ruch użytkowników może być szkodliwy. Innymi słowy, filtruje ruch w celu sprawdzenia wektorów zagrożeń przed wpuszczeniem go do aplikacji internetowej.

Aby zapobiec frontingowi domeny, skonfiguruj serwer proxy tak, aby przechwytywał całą komunikację TLS i upewnij się, że nagłówek hosta HTTP jest taki sam jak nagłówek przekierowywany przez HTTPS. Na podstawie Twoich ustawień system odmówi dostępu, jeśli wykryje niezgodność.

Unikaj zawieszonych wpisów DNS

Wszystkie wpisy w Twoim DNS mają na celu kierowanie ruchu wejściowego do wyznaczonych kanałów. Kiedy dokonujesz wpisu, którego DNS nie może przetworzyć z powodu braku zasobu, masz zawieszony rekord DNS.

Rekord DNS jest zawieszony, gdy jest źle skonfigurowany lub nieaktualny i nie jest przydatny dla poleceń DNS. Stwarza to miejsce na ataki z przodu domeny, ponieważ cyberprzestępcy wykorzystują wpisy do swoich złośliwych działań.

Aby zapobiec atakom typu fronting domeny z powodu zawieszonych wpisów DNS, należy zawsze dbać o czystość rekordów DNS. Przeprowadzaj regularne oczyszczanie, aby sprawdzać stare i nieaktualne wpisy i usuwać je. Możesz użyć narzędzia do monitorowania DNS, aby zautomatyzować ten proces. Generuje listę wszystkich Twoich aktywnych zasobów w rekordach DNS i wyróżnia te nieaktywne.

Zaakceptuj podpisywanie kodu

Podpisywanie kodu to podpisywanie oprogramowania za pomocą podpisów cyfrowych, takich jak infrastruktura klucza publicznego (PKI), aby pokazać użytkownikom, że oprogramowanie jest nienaruszone i nie wprowadza żadnych zmian. Głównym celem podpisywania kodu jest zapewnienie użytkowników, że pobierana przez nich aplikacja jest autentyczna.

Podpisywanie kodu umożliwia podpisywanie domeny i innych zasobów w rekordach DNS w celu zaprezentowania ich integralności i ustanowienia między nimi łańcucha zaufania. System nie zweryfikuje ani nie przetworzy żadnego zasobu ani polecenia, które nie mają nadrukowanego autoryzowanego podpisu.

Zaimplementuj zerowe zaufanie do zabezpieczeń, aby zapobiegać atakom skierowanym na domenę

Ataki skierowane na domenę zwracają uwagę na zagrożenia związane z ruchem w domenie. Jeśli hakerzy mogą przedostać się do legalnych platform, aby przeniknąć do twojego systemu, pokazuje to, że nie możesz ufać żadnej platformie.

Wdrożenie zabezpieczeń opartych na zasadzie zerowego zaufania jest najlepszym rozwiązaniem. Upewnij się, że każdy ruch do Twojej sieci przechodzi standardowe kontrole bezpieczeństwa w celu zweryfikowania jego integralności.