安全廠商FireEye公司正繼續(xù)對APT29組織進行追蹤（又名The Dukes、舒適熊以及Cozy Duke），并于本周一透露稱，該網(wǎng)絡(luò)間諜集團曾經(jīng)利用一種名為“域名前移（domain fronting）”的技術(shù)提升對攻擊活動進行歸因的難度。

去年12月，Signal開發(fā)團隊正式介紹了“域名前移”這一能夠用于逃避審查機制的技術(shù)。

然而令人驚訝的是，APT29組織早在很久之前就已經(jīng)開始使用此類技術(shù)，而當(dāng)時IT安全社區(qū)對此幾乎一無所知。

所謂域名前移技術(shù)，是一種依賴在不同應(yīng)用層使用不同域名的方式逃避審查的技術(shù)手段。

根據(jù)加利福尼亞大學(xué)伯克利分校、Psiphon以及Brave New Software公司的研究人員們聯(lián)合發(fā)表的一篇論文所言，域名前移技術(shù)能夠“隱藏通信中的遠程端點。域名前移作為應(yīng)用層起效，其利用HTTPS與違禁主機進行通信，但表面上看起來卻是在與其它主機通信，從而逃避安全審查。”

這份論文同時解釋稱，“其核心思路在于立足多個不同通信層使用不同域名。其中一個域名用于在HTTPS請求之外進行顯示——即存在于DNS請求與TLS服務(wù)器名指示當(dāng)中——而另一域名則為內(nèi)部真實存在，即包含于HTTP主機標(biāo)頭內(nèi)且受HTTPS加密保護而無法被審查機制所發(fā)現(xiàn)。在這種情況下，審查機制將無法判斷指向該域名的前移及未前移流量，因此只能選擇完全允許全部流量或者徹底屏蔽該域名——這無疑會造成昂貴的附加損害。”

這項域名前移技術(shù)易于部分及使用，且不需要由網(wǎng)絡(luò)中繼機制進行特殊操作。

APT29組織至少在兩年之前就已經(jīng)開始使用域名前移技術(shù)，黑客們利用Tor網(wǎng)絡(luò)與受感染設(shè)備進行通信。為了將Tor流量偽造為合法流量，這群網(wǎng)絡(luò)犯罪分子使用了Meek——一款專門用于實現(xiàn)域名前移技術(shù)的Tor插件，其允許用戶在一條指向google.com的看似無害HTTPS POST請求內(nèi)發(fā)送實際指向Tor的流量。

FireEye公司發(fā)布的分析報告指出，“APT29The Onion Router（簡稱TOR）與TOR域名前移插件meek以創(chuàng)建一條隱藏的加密網(wǎng)絡(luò)隧道，且后者看似是在通過TLS接入谷歌服務(wù)。這條隧道能夠為攻擊者提供利用終端服務(wù)（簡稱TS）、NetBIOS以及Server Message Block（簡稱SMB）服務(wù)對主機系統(tǒng)的遠程訪問能力，同時其流量看似指向合法網(wǎng)站。攻擊者亦利用一項常見的Windows安全漏洞以在未經(jīng)身份驗證的情況下訪問高權(quán)限命令shell。”

攻擊者們利用一套PowerShell腳本外加一個.bat文件在目標(biāo)系統(tǒng)上安裝Tor客戶端與Meek插件。

APT29組織利用Sticky Keys漏洞替換合法的Windows命令提示符（即cmd.exe）可執(zhí)行文件，并在目標(biāo)系統(tǒng)上獲取一條具備SYSTEM級別權(quán)限的shell。通過這種方式，攻擊者們得以執(zhí)行其它多項命令，其中包括添加新的帳戶。

分析報告進一步介紹稱，“攻擊者執(zhí)行Powershell腳本C:Program Files(x86)Googlestart.ps1以安裝TOR服務(wù)并實現(xiàn)‘Sticky Keys’漏洞。此套腳本在執(zhí)行后即被刪除，且不可恢復(fù)。”

這套負責(zé)執(zhí)行Sticky Keys漏洞的腳本亦被用于在目標(biāo)設(shè)備上實現(xiàn)持久駐留，其會創(chuàng)建一項名為“Google Update”的Windows服務(wù)。

分析報告總結(jié)稱，“通過采用這種公開的實現(xiàn)方案，他們能夠隱藏自己的網(wǎng)絡(luò)流量、最大程度降低研發(fā)需求并使用多種難于歸因的入侵工具。要在網(wǎng)絡(luò)之上成功檢測到此類活動，需要查看TLS連接并檢查實際網(wǎng)絡(luò)簽名。”