RSAC 2019: Los cibercriminales y el domain fronting

9 Abr 2019

El Domain fronting (técnica utilizada para protegerse detrás de un dominio de terceros) pasó a primer plano después de que Telegram lo utilizara para evitar el bloqueo de Roskomnadzor, el regulador de Internet ruso. Este fue uno de los temas que trataron los portavoces del Instituto SANS durante la conferencia RSA 2019. Para los atacantes, el esquema no es un vector de ataque sino una forma de controlar un ordenador infectado y extraer datos robados. Ed Skoudis, de cuyo informe ya hablamos en publicaciones anteriores, describió un plan de acción típico de los cibercriminales que buscan “desaparecer en las nubes”.

La detección de la mayoría de los ataques de APT se produce durante el intercambio de información con el servidor de mando. Los intercambios repentinos entre un ordenador desde una red corporativa con una máquina externa desconocida son una señal de alarma, que seguramente desencadenará una respuesta del equipo de seguridad de la información, y esta es precisamente la razón por la que los cibercriminales deciden ocultar estas comunicaciones. Por ello, cada vez es más común la utilización de redes de distribución de contenidos (CDN, por sus siglas en inglés).

El algoritmo que Skoudis describió es el siguiente:

  1. Hay un ordenador infectado con malware en la red corporativa.
  2. Este dispositivo envía una petición de DNS en busca de un sitio web fiable y limpio desde un CDN de confianza.
  3. El atacante, también cliente de este CDN, aloja allí su página web.
  4. El ordenador infectado establece una conexión TLS cifrada con el sitio web de confianza.
  5. Dentro de esta conexión, el malware realiza una petición de HTTP 1.1 que se dirige al servidor web del atacante en el mismo CDN.
  6. La página web reenvía la petición a sus servidores malware.
  7. Se establece el canal de comunicación.

Para los especialistas en seguridad informática a cargo de la red corporativa, todo esto aparenta ser una comunicación con un sitio web seguro desde un CDN conocido y mediante un canal cifrado, puesto que consideran que el CDN, cliente de la compañía, forma parte de su red de confianza. Pero todo esto es un error.

Según Skoudis, estos son los síntomas de una tendencia muy peligrosa. El domain fronting no es agradable, pero puede controlarse. La parte más peligrosa de este asunto es que los cibercriminales se están adentrando en las tecnologías de la nube. En teoría, pueden crear cadenas de CDN y ocultar sus actividades tras los servicios en la nube, organizando así un “blanqueo de conexiones”. La probabilidad de que un CDN bloquee a otro por motivos de seguridad es prácticamente nula, ya que perjudicaría gravemente sus negocios.

Para enfrentarse a este tipo de problemas, Skoudis recomienda utilizar técnicas de intercepción TLS. Pero lo principal es ser consciente de que esto puede suceder y tener en mente este vector de ataque en la nube cuando realices un modelado de amenazas.

Los expertos de Kaspersky Lab también tienen experiencia con este tipo de métodos maliciosos. Nuestra solución Threat Management and Defense puede detectar estos canales de comunicación y subrayar la posible actividad maliciosa.