-
09/04/2020
-
115
-
1.147 bài viết
Domain‑fronting mới lợi dụng Google Meet, YouTube, Chrome và GCP để che giấu kênh C2
Google Meet, YouTube và GCP đang trở thành những “điểm mù” trong hệ thống doanh nghiệp khi kẻ tấn công tận dụng sự tin cậy dành cho các dịch vụ này để che giấu hoạt động. Một biến thể domain-fronting vừa được chứng minh cho phép chúng biến lưu lượng Google thành đường hầm C2, khiến dữ liệu độc hại hòa lẫn với kết nối hợp pháp và khó bị phát hiện.
Kỹ thuật khai thác dựa trên bất đồng giữa hai thành phần trong giao thức HTTPS: Server Name Indication (SNI) được gửi ở dạng rõ trong bước bắt tay TLS và trường HTTP Host nằm bên trong gói dữ liệu đã được mã hóa. Trong một kết nối hợp lệ, client trình bày SNI để server lựa chọn chứng chỉ phù hợp. Tuy nhiên, sau khi kênh TLS đã được thiết lập, nội dung HTTP có thể chứa trường Host khác biệt hoàn toàn so với SNI. Chính khác biệt này tạo điều kiện cho domain‑fronting hoạt động.
Domain Fronting trên Google[.]comNhóm nghiên cứu của Praetorian đã minh họa khai thác bằng cách triển khai một hàm Cloud Run trả về chuỗi “Hello World!” và sử dụng SNI trỏ tới google.com trong khi đặt trường Host trỏ tới URL hàm Cloud Run. Kết quả cho thấy hàm Cloud Run thực sự được gọi, tức yêu cầu đã được định tuyến về cơ sở hạ tầng do bên thứ ba kiểm soát thay vì các máy chủ công khai của Google. Hành vi này không chỉ xảy ra với một domain duy nhất mà mở rộng sang nhiều dịch vụ, trong đó có update.googleapis.com, payments.google.com và thậm chí api.snapchat.com khi lợi dụng App Engine.
Kỹ thuật domain‑fronting trên các dịch vụ Google
Tình huống trở nên nguy hiểm vì các domain kể trên thường được loại khỏi kiểm tra TLS ở biên mạng do thuộc nhóm dịch vụ quan trọng hoặc vì cơ chế certificate pinning. Khi một số lưu lượng được mặc định bỏ qua giám sát sâu, kẻ tấn công có thể che giấu kênh C2 trong những kết nối tưởng như hợp pháp, khiến phát hiện và phân biệt trở nên khó khăn.
Trước đây, nhà cung cấp dịch vụ và các thiết bị an ninh mạng đã triển khai cơ chế buộc khớp giữa SNI và trường Host để ngăn domain‑fronting. Tuy nhiên, thực tế cho thấy các cơ chế cân bằng tải và logic định tuyến nội bộ của Google vẫn tồn tại những ngoại lệ, dẫn tới khả năng chuyển tiếp yêu cầu tới backend không thuộc quyền kiểm soát của Google nếu trường Host bị thay đổi. Quy trình tấn công điển hình gồm ba bước: khởi tạo bắt tay TLS với SNI trỏ tới một domain Google danh tiếng, đặt trường Host trong yêu cầu HTTP đã mã hóa về domain do attacker quản lý trên Cloud Run hoặc App Engine, rồi chờ front‑end của Google chuyển tiếp yêu cầu dựa trên giá trị Host sang backend tương ứng.
Praetorian đã phát hành công cụ praetorian‑inc/google‑redirector để hỗ trợ red‑team tự động hóa việc thiết lập chuyển hướng. Mặc dù hữu ích cho thử nghiệm phòng thủ, công cụ mang tính dual‑use và có thể bị lạm dụng để che giấu kênh C2, do đó chỉ nên sử dụng trong môi trường kiểm thử được phép và dưới sự giám sát chặt chẽ.
Trước bối cảnh đó, đội ngũ bảo mật cần điều chỉnh chiến lược phòng thủ để giảm rủi ro mà kỹ thuật domain‑fronting đặt ra. Một số biện pháp khuyến nghị bao gồm:
Domain‑fronting đang tái xuất với hình thái mới, tận dụng cả hạ tầng nhà cung cấp lớn lẫn mô hình serverless. Thách thức dành cho các chuyên gia bảo mật là phát hiện hoạt động tinh vi đang ẩn mình trong luồng dữ liệu hợp pháp mà không gây gián đoạn cho hoạt động kinh doanh. Áp dụng kiểm tra host, giám sát hành vi và rà soát cấu hình dịch vụ cloud là những bước thiết thực và cần được ưu tiên triển khai.
Kỹ thuật khai thác dựa trên bất đồng giữa hai thành phần trong giao thức HTTPS: Server Name Indication (SNI) được gửi ở dạng rõ trong bước bắt tay TLS và trường HTTP Host nằm bên trong gói dữ liệu đã được mã hóa. Trong một kết nối hợp lệ, client trình bày SNI để server lựa chọn chứng chỉ phù hợp. Tuy nhiên, sau khi kênh TLS đã được thiết lập, nội dung HTTP có thể chứa trường Host khác biệt hoàn toàn so với SNI. Chính khác biệt này tạo điều kiện cho domain‑fronting hoạt động.
Domain Fronting trên Google[.]com
Kỹ thuật domain‑fronting trên các dịch vụ Google
Trước đây, nhà cung cấp dịch vụ và các thiết bị an ninh mạng đã triển khai cơ chế buộc khớp giữa SNI và trường Host để ngăn domain‑fronting. Tuy nhiên, thực tế cho thấy các cơ chế cân bằng tải và logic định tuyến nội bộ của Google vẫn tồn tại những ngoại lệ, dẫn tới khả năng chuyển tiếp yêu cầu tới backend không thuộc quyền kiểm soát của Google nếu trường Host bị thay đổi. Quy trình tấn công điển hình gồm ba bước: khởi tạo bắt tay TLS với SNI trỏ tới một domain Google danh tiếng, đặt trường Host trong yêu cầu HTTP đã mã hóa về domain do attacker quản lý trên Cloud Run hoặc App Engine, rồi chờ front‑end của Google chuyển tiếp yêu cầu dựa trên giá trị Host sang backend tương ứng.
Praetorian đã phát hành công cụ praetorian‑inc/google‑redirector để hỗ trợ red‑team tự động hóa việc thiết lập chuyển hướng. Mặc dù hữu ích cho thử nghiệm phòng thủ, công cụ mang tính dual‑use và có thể bị lạm dụng để che giấu kênh C2, do đó chỉ nên sử dụng trong môi trường kiểm thử được phép và dưới sự giám sát chặt chẽ.
Trước bối cảnh đó, đội ngũ bảo mật cần điều chỉnh chiến lược phòng thủ để giảm rủi ro mà kỹ thuật domain‑fronting đặt ra. Một số biện pháp khuyến nghị bao gồm:
- Kiểm tra tính nhất quán giữa chứng chỉ TLS, SNI và trường Host để phát hiện các bất thường trong quá trình bắt tay HTTPS
- Giám sát hành vi lưu lượng để nhận diện các mẫu kết nối bất thường tới các dịch vụ Google
- Thực hiện host‑validation nghiêm ngặt tại biên mạng nhằm ngăn chặn các trường Host không hợp lệ
- Áp dụng TLS inspection có chọn lọc thay vì loại bỏ toàn bộ nhóm domain khỏi giám sát, đảm bảo phát hiện lưu lượng đáng ngờ mà không ảnh hưởng tới hoạt động bình thường
- Rà soát cấu hình Cloud Run và App Engine trong các môi trường serverless, giới hạn việc chấp nhận các Host header lạ và theo dõi các endpoint ít được truy cập
Domain‑fronting đang tái xuất với hình thái mới, tận dụng cả hạ tầng nhà cung cấp lớn lẫn mô hình serverless. Thách thức dành cho các chuyên gia bảo mật là phát hiện hoạt động tinh vi đang ẩn mình trong luồng dữ liệu hợp pháp mà không gây gián đoạn cho hoạt động kinh doanh. Áp dụng kiểm tra host, giám sát hành vi và rà soát cấu hình dịch vụ cloud là những bước thiết thực và cần được ưu tiên triển khai.
Theo Cyber Security News
Chỉnh sửa lần cuối: