Домен, входящий в вашу сеть, может оказаться не тем, чем кажется. Доменное прикрытие позволяет злоумышленнику пробраться в сеть из, казалось бы, легитимного источника.
Говорят, что на войне все честно. Киберпреступники делают все возможное, чтобы выиграть кибервойну, используя любые средства, чтобы атаковать ничего не подозревающих жертв ради их данных.
Они используют самые большие обманы, чтобы скрыть свою личность и застать вас врасплох с помощью таких методов, как атаки с использованием домена.
Кажущийся легитимным домен, имеющий доступ к вашей сети, может оказаться не совсем легитимным. Злоумышленник может прикрываться им, чтобы загнать вас в тугой угол.
Это так называемая атака на домен. Можете ли вы что-нибудь с этим сделать?
Что такое фронтальная атака на домен?
В рамках регулирования интернета некоторые страны ограничивают доступ граждан к определенному онлайн-контенту и веб-сайтам, блокируя трафик пользователей на своей территории. Не имея законного доступа к сайтам, занесенным в черный список, некоторые люди ищут несанкционированные способы доступа.
Фронтирование домена - это процесс, при котором пользователь маскирует свой домен для доступа к веб-сайту, доступ к которому запрещен на его территории. С другой стороны, атака с использованием domain fronting - это процесс использования легитимного домена с помощью методов domain fronting для атаки на сеть.
Первоначально domain fronting не был средством кибератаки. Незлонамеренные пользователи могли использовать его для обхода цензуры против определенных доменов в своем регионе. Например, в материковом Китае, где YouTube запрещен, пользователь мог использовать domain fronting для доступа к YouTube в безобидных развлекательных целях, не ставя под угрозу ничью учетную запись. Но, видя, что это удобный способ обойти проверки безопасности, киберпреступники используют его в своих корыстных целях, отсюда и фактор атаки.
Как работает атака на домен?
Чтобы победить цензуру на местах, атакующий, использующий доменное прикрытие, принимает облик законного пользователя Интернета, обычно из другого географического места. Сеть доставки контента (CDN), хранилище прокси-серверов по всему миру, играет важную роль в атаке на домен.
Когда вы хотите получить доступ к веб-сайту, вы запускаете следующие запросы:
DNS: Ваше устройство, подключенное к Интернету, имеет IP-адрес. Этот адрес уникален и принадлежит только вашему устройству. Когда вы пытаетесь получить доступ к веб-сайту, вы инициируете запрос системы доменных имен (DNS), который преобразует ваше доменное имя в IP-адрес.
HTTP: запрос протокола передачи гипертекста (HTTP) соединяет ваш запрос на доступ с гипертекстами во всемирной паутине (WWW).
TLS: запрос безопасности транспортного уровня (TLS) преобразует ваши команды HTTP в HTTPS с помощью шифрования и обеспечивает безопасность ввода между вашими веб-браузерами и серверами.
По сути, DNS преобразует ваше доменное имя в IP-адрес, а IP-адрес работает через HTTP- или HTTPS-соединение. Преобразование вашего доменного имени в IP-адрес не меняет ваш домен; он остается прежним. Но при доменном фронтинге, в то время как ваш домен остается неизменным в DNS и TLS, он изменяется в HTTPS. Записи DNS показывают легитимный домен, но HTTPS перенаправляет на запрещенный.
Например, вы живете в стране, где сайт example.com заблокирован, но вы все равно хотите получить к нему доступ. Ваша цель - получить доступ к example.com с помощью легитимного сайта, например it-developer.in.ua. Запросы к вашему DNS и TLS будут указывать на it-developer.in.ua, но ваше HTTPS-соединение будет указывать на example.com.
Для успешной работы доменного фронтинга используется расширенная безопасность HTTPS. Поскольку HTTPS зашифрован, он может обходить протоколы безопасности без обнаружения.
Киберпреступники используют описанный выше сценарий для проведения атак с использованием домена. Вместо того чтобы использовать легальный домен для доступа к веб-сайтам, доступ к которым ограничен из-за цензуры, они используют легальный домен для кражи данных и выполнения связанных с этим вредоносных задач.
Как предотвратить фронтальные атаки на домены
При проведении доменных атак киберпреступники используют не просто легитимные домены, а домены с высоким рейтингом. И все потому, что такие домены имеют репутацию подлинных. Естественно, у вас не будет причин для подозрений, если вы обнаружите легальный домен в своей сети.
Вы можете предотвратить атаки с использованием доменов следующими способами.
Установите прокси-сервер
Прокси-сервер - это посредник или посредник между вами (вашим устройством) и Интернетом. Это система безопасности, которая не позволяет пользователям напрямую выходить в интернет, особенно если пользовательский трафик может быть вредным. Другими словами, он фильтрует трафик на предмет наличия векторов угроз, прежде чем пропустить его в веб-приложение.
Чтобы предотвратить доменное фронтирование, настройте прокси-сервер на перехват всех TLS-соединений и убедитесь, что заголовок хоста HTTP такой же, как и тот, который перенаправляется HTTPS. На основании ваших настроек система будет отказывать в доступе, если заметит несоответствие.
Избегайте висячих записей DNS
Все записи в DNS должны направлять входящий трафик по назначенным каналам. Когда вы создаете запись, которую DNS не может обработать из-за отсутствия ресурса, у вас появляется висячая запись DNS.
Запись DNS является висящей, если она неправильно настроена или устарела и не полезна для команд DNS. Это создает возможности для атак на домен, поскольку угрожающие субъекты используют эти записи для своей вредоносной деятельности.
Чтобы предотвратить фронтальные атаки на домен из-за висячих записей DNS, вы должны всегда содержать свои записи DNS в чистоте. Регулярно проводите санитарную обработку, проверяя наличие старых и устаревших записей и удаляя их. Для автоматизации этого процесса можно использовать инструмент мониторинга DNS. Он создает список всех активных ресурсов в записях DNS и выделяет неактивные.
Примите на вооружение подписание кода
Подписание кода - это подписание программного обеспечения цифровыми подписями, например, с помощью инфраструктуры открытых ключей (PKI), чтобы показать пользователям, что программное обеспечение не содержит никаких изменений. Основная цель подписания кода - убедить пользователей в подлинности загружаемого ими приложения.
Подписание кода позволяет подписывать ваш домен и другие ресурсы в записях DNS, чтобы продемонстрировать их целостность и установить цепочку доверия между ними. Система не будет подтверждать или обрабатывать любой ресурс или команду, на которой нет авторизованной подписи.
Внедрение нулевого доверия для предотвращения атак на доменные фронты
Атаки с использованием домена подчеркивают опасность, связанную с доменным трафиком. Если хакеры могут прикрываться легитимными авторитетными платформами для проникновения в вашу систему, это говорит о том, что доверять нельзя ни одной платформе.
Внедрение системы безопасности с нулевым доверием - это путь к успеху. Убедитесь, что каждый трафик, поступающий в вашу сеть, проходит стандартные проверки безопасности для подтверждения его целостности.
Добавить комментарий