fireeye:apt29曾利用前沿技术“域名前移”规避安全检测
2017-03-29 10:55:29
3月29日讯 fireeye公司的安全专家们发现,apt29网络间谍组织曾利用一系列当时尚不为it安全社区所了解的前沿技术规避安全检测。
安全厂商fireeye公司正继续对apt29组织进行追踪(又名the dukes、舒适熊以及cozy duke),并于本周一透露称,该网络间谍集团曾经利用一种名为“域名前移(domain fronting)”的技术提升对攻击活动进行归因的难度。
去年12月,signal开发团队正式介绍了“域名前移”这一能够用于逃避审查机制的技术。
然而令人惊讶的是,apt29组织早在很久之前就已经开始使用此类技术,而当时it安全社区对此几乎一无所知。
所谓域名前移技术,是一种依赖在不同应用层使用不同域名的方式逃避审查的技术手段。
根据加利福尼亚大学伯克利分校、psiphon以及brave new software公司的研究人员们联合发表的一篇论文所言,域名前移技术能够“隐藏通信中的远程端点。域名前移作为应用层起效,其利用https与违禁主机进行通信,但表面上看起来却是在与其它主机通信,从而逃避安全审查。”
这份论文同时解释称,“其核心思路在于立足多个不同通信层使用不同域名。其中一个域名用于在https请求之外进行显示——即存在于dns请求与tls服务器名指示当中——而另一域名则为内部真实存在,即包含于http主机标头内且受https加密保护而无法被审查机制所发现。在这种情况下,审查机制将无法判断指向该域名的前移及未前移流量,因此只能选择完全允许全部流量或者彻底屏蔽该域名——这无疑会造成昂贵的附加损害。”
这项域名前移技术易于部分及使用,且不需要由网络中继机制进行特殊操作。
apt29组织至少在两年之前就已经开始使用域名前移技术,黑客们利用tor网络与受感染设备进行通信。为了将tor流量伪造为合法流量,这群网络犯罪分子使用了meek——一款专门用于实现域名前移技术的tor插件,其允许用户在一条指向google.com的看似无害https post请求内发送实际指向tor的流量。
fireeye公司发布的分析报告指出,“apt29the onion router(简称tor)与tor域名前移插件meek以创建一条隐藏的加密网络隧道,且后者看似是在通过tls接入谷歌服务。这条隧道能够为攻击者提供利用终端服务(简称ts)、netbios以及server message block(简称smb)服务对主机系统的远程访问能力,同时其流量看似指向合法网站。攻击者亦利用一项常见的windows安全漏洞以在未经身份验证的情况下访问高权限命令shell。”
攻击者们利用一套powershell脚本外加一个.bat文件在目标系统上安装tor客户端与meek插件。
apt29组织利用sticky keys漏洞替换合法的windows命令提示符(即cmd.exe)可执行文件,并在目标系统上获取一条具备system级别权限的shell。通过这种方式,攻击者们得以执行其它多项命令,其中包括添加新的帐户。
分析报告进一步介绍称,“攻击者执行powershell脚本c:\program files(x86)\google\start.ps1以安装tor服务并实现‘sticky keys’漏洞。此套脚本在执行后即被删除,且不可恢复。”
这套负责执行sticky keys漏洞的脚本亦被用于在目标设备上实现持久驻留,其会创建一项名为“google update”的windows服务。
分析报告总结称,“通过采用这种公开的实现方案,他们能够隐藏自己的网络流量、最大程度降低研发需求并使用多种难于归因的入侵工具。要在网络之上成功检测到此类活动,需要查看tls连接并检查实际网络签名。”
官方微信