Domain Fronting 101: ¿Qué es Domain Fronting y cómo funciona?

¿Qué es el frente de dominio?

La fachada de dominio es una técnica que implica el uso de diferentes nombres de dominio en el campo Indicación de nombre de servidor (SNI) del encabezado TLS y el campo Host del encabezado de host HTTP.

Es una técnica útil para eludir la censura en Internet, especialmente en países del tercer mundo. Esencialmente, oculta su tráfico a un sitio web específico enmascarándolo como un dominio diferente. Es una de las formas en que un atacante ofusca sus actividades.

¿Qué es una red de entrega de contenido (CDN)?

Una CDN se refiere a “un grupo de servidores distribuidos geográficamente que trabajan juntos para proporcionar una entrega rápida de contenido de Internet” ( Cloudflare ). Aumenta la disponibilidad de una página web para un usuario en función de la información que está solicitando y dónde se encuentra.

A continuación se enumeran ejemplos de diferentes CDN:

• Akamai
• Llamarada de la nube
• frente a la nube

¿Cómo funciona el frente de dominio?

Un cliente envía una solicitud HTTP con el destino real establecido en el encabezado del host HTTP. La consulta DNS y TLS SNI contienen un dominio (también conocido como el dominio frontal) mientras que el encabezado HTTPs, que está oculto al censor, mediante el cifrado HTTPS, contiene el destino prohibido.

Esta técnica de elusión disfraza el verdadero destino del mensaje del cliente al redirigir los datos a través de una red de entrega de contenido (CDN). Por lo tanto, desde la perspectiva del firewall, la solicitud HTTPS parece dirigirse a un sitio web legítimo cuando en realidad se dirige a un sitio malicioso que normalmente estaría bloqueado. El frente de dominio utiliza diferentes nombres de dominio en diferentes capas, como verá en el ejemplo a continuación.

La solicitud de DNS y el TLS SNI aparecen en texto sin formato con el dominio frontal de allow.example. Entonces, si miramos el dominio ubicado en la capa HTTP, el dominio prohibido, prohibido.ejemplo, existe aquí porque es ilegible para el censor.

Para que la fachada de dominio funcione, tanto el sitio web malicioso como el sitio legítimo deben estar alojados en la misma CDN.

¿Cuándo se usa el frente de dominio?

A continuación, se enumeran algunas formas en las que se podría utilizar el fronting de dominio:

• Las aplicaciones de mensajería como Signal y Telegram utilizan el frente de dominio para evadir la censura, lo que permite que las personas en países como China, Rusia, etc., con estrictas restricciones de Internet, puedan usar estas aplicaciones.
• Aquellos que viven en países restrictivos pueden usar el frente de dominio para acceder a contenido restringido.
• El proyecto Tor usó el complemento meek para “implementar el frente de dominio a través de google.com y otros CDN como una forma de evadir la censura” ( Cyberark ). Por ejemplo, este dominio específico de Akamai (a248.e.akamai.net) fue utilizado por el proyecto Tor para eludir las restricciones de Internet de China y luego fue bloqueado en China, ya que se utilizó para eludir el control de filtrado de contenido del país ( Cyberark ). .

¿Cómo se puede abusar del frente de dominio?

Como se explicó en la sección anterior, los piratas informáticos pueden usar la fachada de dominio para ocultar su actividad maliciosa detrás de un sitio web legítimo. Por ejemplo, un grupo de piratas informáticos rusos, APT29, utilizó la red Tor para comunicarse con máquinas infectadas y filtrar datos.

Los atacantes también pueden usar la fachada de dominio para ofuscar un tráfico de comando y control (C2) de malware, lo que les permite enmascarar este tráfico C2 dentro de la CDN. Espera las instrucciones apropiadas antes de recibir instrucciones para infectar otros sistemas.

¿Cómo protegerse contra el frente de dominio?

La mejor manera de defenderse contra el fronting de dominio es "tener un servidor proxy para todas sus conexiones a Internet que dejen su red corporativa que esté configurada para la intercepción de TLS" ( herramientas de seguridad de Henson ). Puede configurar el servidor proxy para asegurarse de que el "encabezado http 1.1 coincida con el dominio que se encuentra en la URL" y, si los dominios no coinciden, puede generar una alerta ( Henson Security Tools ).

¿Cómo detectar el fronting de dominio?

El aprendizaje automático no supervisado combinado con las huellas dactilares JA3 se puede utilizar para detectar la fachada del dominio. Mediante el uso de aprendizaje automático no supervisado, el algoritmo podría aprender y reconocer cualquier patrón del conjunto de datos que se haya utilizado. El uso de las huellas dactilares JA3 detectaría la aplicación cliente y determinaría si es maliciosa o no. Es extremadamente útil en las comunicaciones encriptadas, por lo que también es extremadamente beneficioso para detectar el fronting de dominio. La huella dactilar brinda información valiosa sobre el cliente, como tener la capacidad de detectar el malware en función de cómo se comunica en lugar de a quién/quiere que se comunique.

El futuro de la fachada de dominio

En abril de 2018, Google y Amazon cesaron sus servicios de fronting de dominio y, desde entonces, el aumento de TLS 1.3 podría considerarse una versión mejorada de fronting de dominio, conocida como ocultación de dominio. Según la investigación de Erik Hunstad , "las herramientas de monitoreo de red y censura de Internet pueden ser engañadas en múltiples niveles". Puede usar el indicador de nombre de servidor cifrado (ESNI) en TLS 1.3 para ocultar el verdadero destino al que se dirige en una CDN sin que la CDN tenga que utilizar el encabezado de host HTTP como lo haría en el frente del dominio.