{"id":14337,"date":"2019-04-09T09:10:31","date_gmt":"2019-04-09T15:10:31","guid":{"rendered":"https:\/\/latam.kaspersky.com\/blog\/?p=14337"},"modified":"2019-11-22T02:50:10","modified_gmt":"2019-11-22T08:50:10","slug":"domain-fronting-rsa2019","status":"publish","type":"post","link":"https:\/\/latam.kaspersky.com\/blog\/domain-fronting-rsa2019\/14337\/","title":{"rendered":"RSAC 2019: Los cibercriminales y el domain fronting"},"content":{"rendered":"

El Domain fronting<\/em> (t\u00e9cnica utilizada para protegerse detr\u00e1s de un dominio de terceros) pas\u00f3 a primer plano despu\u00e9s de que Telegram<\/a> lo utilizara para evitar el bloqueo de Roskomnadzor, el regulador de Internet ruso. Este fue uno de los temas que trataron los portavoces del Instituto SANS durante la conferencia RSA 2019. Para los atacantes, el esquema no es un vector de ataque sino una forma de controlar un ordenador infectado y extraer datos robados. Ed Skoudis, de cuyo informe ya hablamos en publicaciones anteriores<\/a>, describi\u00f3 un plan de acci\u00f3n t\u00edpico de los cibercriminales que buscan \u201cdesaparecer en las nubes\u201d.<\/p>\n

La detecci\u00f3n de la mayor\u00eda de los ataques de APT se produce durante el intercambio de informaci\u00f3n con el servidor de mando. Los intercambios repentinos entre un ordenador desde una red corporativa con una m\u00e1quina externa desconocida son una se\u00f1al de alarma, que seguramente desencadenar\u00e1 una respuesta del equipo de seguridad de la informaci\u00f3n, y esta es precisamente la raz\u00f3n por la que los cibercriminales deciden ocultar estas comunicaciones. Por ello, cada vez es m\u00e1s com\u00fan la utilizaci\u00f3n de redes de distribuci\u00f3n de contenidos<\/a> (CDN, por sus siglas en ingl\u00e9s).<\/p>\n

El algoritmo que Skoudis describi\u00f3 es el siguiente:<\/p>\n

    \n
  1. Hay un ordenador infectado con malware<\/em> en la red corporativa.<\/li>\n
  2. Este dispositivo env\u00eda una petici\u00f3n de DNS en busca de un sitio web fiable y limpio desde un CDN de confianza.<\/li>\n
  3. El atacante, tambi\u00e9n cliente de este CDN, aloja all\u00ed su p\u00e1gina web.<\/li>\n
  4. El ordenador infectado establece una conexi\u00f3n TLS cifrada con el sitio web de confianza.<\/li>\n
  5. Dentro de esta conexi\u00f3n, el malware<\/em> realiza una petici\u00f3n de HTTP 1.1 que se dirige al servidor web del atacante en el mismo CDN.<\/li>\n
  6. La p\u00e1gina web reenv\u00eda la petici\u00f3n a sus servidores malware<\/em>.<\/li>\n
  7. Se establece el canal de comunicaci\u00f3n.<\/li>\n<\/ol>\n

    \"\"<\/p>\n

    Para los especialistas en seguridad inform\u00e1tica a cargo de la red corporativa, todo esto aparenta ser una comunicaci\u00f3n con un sitio web seguro desde un CDN conocido y mediante un canal cifrado, puesto que consideran que el CDN, cliente de la compa\u00f1\u00eda, forma parte de su red de confianza. Pero todo esto es un error.<\/p>\n

    Seg\u00fan Skoudis, estos son los s\u00edntomas de una tendencia muy peligrosa. El domain fronting<\/em> no es agradable, pero puede controlarse. La parte m\u00e1s peligrosa de este asunto es que los cibercriminales se est\u00e1n adentrando en las tecnolog\u00edas de la nube. En teor\u00eda, pueden crear cadenas de CDN y ocultar sus actividades tras los servicios en la nube, organizando as\u00ed un \u201cblanqueo de conexiones\u201d. La probabilidad de que un CDN bloquee a otro por motivos de seguridad es pr\u00e1cticamente nula, ya que perjudicar\u00eda gravemente sus negocios.<\/p>\n

    Para enfrentarse a este tipo de problemas, Skoudis recomienda utilizar t\u00e9cnicas de intercepci\u00f3n TLS. Pero lo principal es ser consciente de que esto puede suceder y tener en mente este vector de ataque en la nube cuando realices un modelado de amenazas.<\/p>\n

    Los expertos de Kaspersky Lab tambi\u00e9n tienen experiencia con este tipo de m\u00e9todos maliciosos. Nuestra soluci\u00f3n Threat Management and Defense<\/a> puede detectar estos canales de comunicaci\u00f3n y subrayar la posible actividad maliciosa.<\/p>\n","protected":false},"excerpt":{"rendered":"

    Recordamos una de las charlas del RSAC 2019 sobre c\u00f3mo se usa el domain fronting para ocultar comunicaciones entre una m\u00e1quina infectada y un servidor de mando.<\/p>\n","protected":false},"author":700,"featured_media":14342,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"footnotes":""},"categories":[2795,3539,6,3540],"tags":[3694,623,2867,3671,2402,1034],"class_list":{"0":"post-14337","1":"post","2":"type-post","3":"status-publish","4":"format-standard","5":"has-post-thumbnail","7":"category-business","8":"category-enterprise","9":"category-news","10":"category-smb","11":"tag-cdn","12":"tag-ciberataques","13":"tag-conferencia-rsa","14":"tag-rsa2019","15":"tag-rsac","16":"tag-tls"},"hreflang":[{"hreflang":"es-mx","url":"https:\/\/latam.kaspersky.com\/blog\/domain-fronting-rsa2019\/14337\/"},{"hreflang":"en-in","url":"https:\/\/www.kaspersky.co.in\/blog\/domain-fronting-rsa2019\/15577\/"},{"hreflang":"en-ae","url":"https:\/\/me-en.kaspersky.com\/blog\/domain-fronting-rsa2019\/13122\/"},{"hreflang":"en-us","url":"https:\/\/usa.kaspersky.com\/blog\/domain-fronting-rsa2019\/17498\/"},{"hreflang":"en-gb","url":"https:\/\/www.kaspersky.co.uk\/blog\/domain-fronting-rsa2019\/15648\/"},{"hreflang":"es","url":"https:\/\/www.kaspersky.es\/blog\/domain-fronting-rsa2019\/18219\/"},{"hreflang":"it","url":"https:\/\/www.kaspersky.it\/blog\/domain-fronting-rsa2019\/17152\/"},{"hreflang":"ru","url":"https:\/\/www.kaspersky.ru\/blog\/domain-fronting-rsa2019\/22571\/"},{"hreflang":"tr","url":"https:\/\/www.kaspersky.com.tr\/blog\/domain-fronting-rsa2019\/5881\/"},{"hreflang":"x-default","url":"https:\/\/www.kaspersky.com\/blog\/domain-fronting-rsa2019\/26352\/"},{"hreflang":"fr","url":"https:\/\/www.kaspersky.fr\/blog\/domain-fronting-rsa2019\/11618\/"},{"hreflang":"pt-br","url":"https:\/\/www.kaspersky.com.br\/blog\/domain-fronting-rsa2019\/11686\/"},{"hreflang":"de","url":"https:\/\/www.kaspersky.de\/blog\/domain-fronting-rsa2019\/18978\/"},{"hreflang":"ja","url":"https:\/\/blog.kaspersky.co.jp\/domain-fronting-rsa2019\/23020\/"},{"hreflang":"ru-kz","url":"https:\/\/blog.kaspersky.kz\/domain-fronting-rsa2019\/18224\/"},{"hreflang":"en-au","url":"https:\/\/www.kaspersky.com.au\/blog\/domain-fronting-rsa2019\/22430\/"},{"hreflang":"en-za","url":"https:\/\/www.kaspersky.co.za\/blog\/domain-fronting-rsa2019\/22366\/"}],"acf":[],"banners":"","maintag":{"url":"https:\/\/latam.kaspersky.com\/blog\/tag\/rsac\/","name":"RSAC"},"_links":{"self":[{"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/posts\/14337","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/users\/700"}],"replies":[{"embeddable":true,"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/comments?post=14337"}],"version-history":[{"count":6,"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/posts\/14337\/revisions"}],"predecessor-version":[{"id":15863,"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/posts\/14337\/revisions\/15863"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/media\/14342"}],"wp:attachment":[{"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/media?parent=14337"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/categories?post=14337"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/tags?post=14337"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}