ADAMnetworksのサイバーセキュリティ研究者らは最近、新たな回避技術を公開した。この手法により、悪意のあるデータパケットが信頼されたドメインやコンテンツデリバリーネットワーク(CDN)の背後に身を隠すことが可能となる。その結果、この開発はProtective DNSセキュリティフレームワークに大きく依存する組織を脅かすものとなっている。さらに、このエクスプロイトは一般のウェブサイト管理者にも危険をもたらす。彼らの無害なドメインが、違法な脅威行為との予期せぬ近接性を理由にブラックリストに登録されるリスクがある。
攻撃の仕組み
この新たなエクスプロイトは「アンダーマイナー」という名称を持つ。攻撃を開始するにあたり、攻撃者はまずホワイトリストに登録されたCDNドメインの許可済みIPアドレスを収集する。続いて、脅威アクターはその同一のエッジインフラノードへの接続を確立する。しかし攻撃者は、Server Name Indication(SNI)またはHTTP Hostヘッダー内にまったく異なるドメインを指定する。その結果、境界防御機構は正当なクエリとして記録する。一方、実際のデータ通信は不正な宛先へと密かにルーティングされる。
ドメインフロンティングとの相違点
研究著者らは、アンダーマイナーが従来のドメインフロンティング手法とは大きく異なることを強調している。従来のパラダイムでは、外部ドメインとSNIは通常、信頼性の高いエンティティを反映していた。一方、真の接続先は暗号化されたHTTP Hostヘッダー内に隠蔽されていた。この新しいアーキテクチャの変形では、決定的な不一致が、DNS解決レスポンスと共有IPリソース上でCDNが実際に提供するホスト名との間に生じる。
運用上の展開リスク
ADAMnetworksは、実際の悪用テレメトリにおいてこれらの特定のアーキテクチャ上の設定ミスを観測していることを確認している。彼らの評価によれば、この戦略はProtective DNSフィルターを効果的に回避する。さらに、この技術はコマンド&コントロール(C2)チャネルを隠蔽し、二次マルウェアのペイロードを配布し、静かなデータ窃取を可能にする。加えて、Encrypted Client Hello(ECH)の統合は深刻なリスクベクターをもたらす。このプロトコルは内部SNIをパッシブインスペクションから保護する。そのため、防御側はDNSルックアップと最終的なTLSエンドポイントとを容易に関連付けることができない。
この情報報告書では、複数の攻撃構成が概説されている。基本的なシナリオでは、悪意のあるアプリケーションが信頼されたドメインのIPを取得する。続いて、操作されたSNI変数を使用してそのターゲットアドレスに接続する。一方、分割シナリオでは、正当に見える一次TLSセッションを初期化する。最初の境界チェックを通過した後、クライアントは偽装されたIDを持つ同一CDNノードへの新たな接続を確立する。あるいは、IPアドレスへの直接接続により、隠されたドメインのDNSログの痕跡を完全に排除する方法もある。
境界強化と対策
ドメイン管理者にとって、この運用上の脆弱性はかなりの懸念をもたらす。DNSレコードが同一クラスター上で任意のテナント署名を受け入れる共有CDNフレームワークを指している場合、ウェブサイトは根本的に脆弱な状態に置かれる。これを軽減するため、ADAMnetworksは専門のアンダーマイナー診断ユーティリティを公開した。このプラットフォームは、自動テスト評価および既知の悪用追跡データベースに基づき、ドメインを明確なグリーン・アンバー・クリムゾンのリスクプロファイルに分類する。
境界を強化するため、同社はセキュリティエンジニアに対し、隠されたエンドポイントとは独立して承認済みドメインを監査するよう助言している。さらに、チームはローカルDNSキャッシュ・SNIパラメータ・Host定義・CDN IPの間の相関関係を継続的に検証しなければならない。加えて、管理者は制御されたDNSレスポンスを調整することでECHテレメトリをフィルタリングすべきである。ウェブサイト運営者にとっての対策は、CDNベンダーとの直接連携が必要となる。あるいは、ルーティングメカニズムが個別のクライアントアカウントに厳密に紐付けられた隔離環境へウェブ資産を移行することも選択肢となる。
翻訳元: https://meterpreter.org/underminr-dns-evasion-technique-cdn-shared-hosting/
