3月27日,火眼威脅研究博客文章指出,俄羅斯網(wǎng)絡(luò)間諜組織APT29一直在用一種名為“域名幌子”(Domain Fronting)的技術(shù),讓目標(biāo)機(jī)構(gòu)難以識(shí)別惡意流量。
域名幌子是一種審查規(guī)避技術(shù),通過偽裝成去往合法主機(jī)如谷歌、亞馬遜或CloudFlare的流量,來繞過審查機(jī)制。Open Whisper Systems 最近實(shí)現(xiàn)了該技術(shù)以幫助埃及和阿聯(lián)酋的Signal用戶繞過政府審查。
火眼在其博客中寫道:
APT29(別名公爵、安逸熊、舒適公爵)至少2年前便已使用該技術(shù)。該組織據(jù)信是美國大選黑客事件和挪威著名公司攻擊活動(dòng)的背后黑手。
APT29使用了Tor匿名網(wǎng)絡(luò)與被感染主機(jī)通信。Tor流量會(huì)被某些防御機(jī)制認(rèn)為是可疑流量。為將Tor流量偽裝成合法流量,APT29使用了Meek插件,實(shí)現(xiàn)“域名幌子”,將發(fā)送到Tor的流量包裝進(jìn)看起來無害的 google.com HTTPS POST 請(qǐng)求中。
Meek工作流示意
在攻擊中,APT29使用PowerShell腳本和批處理文件在目標(biāo)系統(tǒng)上安裝Tor客戶端和Meek插件。他們利用了粘滯鍵輔助功能的漏洞,用Windows命令行程序(cmd.exe)替換了合法程序,獲取到以系統(tǒng)權(quán)限執(zhí)行命令的shell,可以添加或修改用戶賬戶。
執(zhí)行粘滯鍵漏洞利用的腳本還會(huì)創(chuàng)建一個(gè)名為“谷歌更新”的Windows服務(wù),確保該后門即便系統(tǒng)重啟也能駐留。
域名幌子技術(shù)廣為人知前就已被APT29加以利用了。通過公開的實(shí)現(xiàn),他們成功隱藏了自身網(wǎng)絡(luò)流量,都不用怎么研究或開發(fā),而且因?yàn)槭枪_的工具,還很難歸因溯源。在網(wǎng)絡(luò)中檢測(cè)此類活動(dòng)需要對(duì)TLS連接和有效網(wǎng)絡(luò)特征碼的可見性。