La fachada de dominio es una técnica que implica el uso de diferentes nombres de dominio en el campo Indicación de nombre de servidor (SNI) del encabezado TLS y el campo Host del encabezado de host HTTP.
Es una técnica útil para eludir la censura en Internet, especialmente en países del tercer mundo. Esencialmente, oculta su tráfico a un sitio web específico enmascarándolo como un dominio diferente. Es una de las formas en que un atacante ofusca sus actividades.
Una CDN se refiere a “un grupo de servidores distribuidos geográficamente que trabajan juntos para proporcionar una entrega rápida de contenido de Internet” ( Cloudflare ). Aumenta la disponibilidad de una página web para un usuario en función de la información que está solicitando y dónde se encuentra.
A continuación se enumeran ejemplos de diferentes CDN:
Un cliente envía una solicitud HTTP con el destino real establecido en el encabezado del host HTTP. La consulta DNS y TLS SNI contienen un dominio (también conocido como el dominio frontal) mientras que el encabezado HTTPs, que está oculto al censor, mediante el cifrado HTTPS, contiene el destino prohibido.
Esta técnica de elusión disfraza el verdadero destino del mensaje del cliente al redirigir los datos a través de una red de entrega de contenido (CDN). Por lo tanto, desde la perspectiva del firewall, la solicitud HTTPS parece dirigirse a un sitio web legítimo cuando en realidad se dirige a un sitio malicioso que normalmente estaría bloqueado. El frente de dominio utiliza diferentes nombres de dominio en diferentes capas, como verá en el ejemplo a continuación.
La solicitud de DNS y el TLS SNI aparecen en texto sin formato con el dominio frontal de allow.example. Entonces, si miramos el dominio ubicado en la capa HTTP, el dominio prohibido, prohibido.ejemplo, existe aquí porque es ilegible para el censor.
Para que la fachada de dominio funcione, tanto el sitio web malicioso como el sitio legítimo deben estar alojados en la misma CDN.
A continuación, se enumeran algunas formas en las que se podría utilizar el fronting de dominio:
Como se explicó en la sección anterior, los piratas informáticos pueden usar la fachada de dominio para ocultar su actividad maliciosa detrás de un sitio web legítimo. Por ejemplo, un grupo de piratas informáticos rusos, APT29, utilizó la red Tor para comunicarse con máquinas infectadas y filtrar datos.
Los atacantes también pueden usar la fachada de dominio para ofuscar un tráfico de comando y control (C2) de malware, lo que les permite enmascarar este tráfico C2 dentro de la CDN. Espera las instrucciones apropiadas antes de recibir instrucciones para infectar otros sistemas.
La mejor manera de defenderse contra el fronting de dominio es "tener un servidor proxy para todas sus conexiones a Internet que dejen su red corporativa que esté configurada para la intercepción de TLS" ( herramientas de seguridad de Henson ). Puede configurar el servidor proxy para asegurarse de que el "encabezado http 1.1 coincida con el dominio que se encuentra en la URL" y, si los dominios no coinciden, puede generar una alerta ( Henson Security Tools ).
El aprendizaje automático no supervisado combinado con las huellas dactilares JA3 se puede utilizar para detectar la fachada del dominio. Mediante el uso de aprendizaje automático no supervisado, el algoritmo podría aprender y reconocer cualquier patrón del conjunto de datos que se haya utilizado. El uso de las huellas dactilares JA3 detectaría la aplicación cliente y determinaría si es maliciosa o no. Es extremadamente útil en las comunicaciones encriptadas, por lo que también es extremadamente beneficioso para detectar el fronting de dominio. La huella dactilar brinda información valiosa sobre el cliente, como tener la capacidad de detectar el malware en función de cómo se comunica en lugar de a quién/quiere que se comunique.
En abril de 2018, Google y Amazon cesaron sus servicios de fronting de dominio y, desde entonces, el aumento de TLS 1.3 podría considerarse una versión mejorada de fronting de dominio, conocida como ocultación de dominio. Según la investigación de Erik Hunstad , "las herramientas de monitoreo de red y censura de Internet pueden ser engañadas en múltiples niveles". Puede usar el indicador de nombre de servidor cifrado (ESNI) en TLS 1.3 para ocultar el verdadero destino al que se dirige en una CDN sin que la CDN tenga que utilizar el encabezado de host HTTP como lo haría en el frente del dominio.