APT29曾利用前沿技術「域名前移」規避安全檢測

E安全3月29日訊 FireEye公司的安全專家們發現，APT29網路間諜組織曾利用一系列當時尚不為IT安全社區所了解的前沿技術規避安全檢測。

安全廠商FireEye公司正繼續對APT29組織進行追蹤（又名The Dukes、舒適熊以及Cozy Duke），並於本周一透露稱，該網路間諜集團曾經利用一種名為「域名前移（domain fronting）」的技術提升對攻擊活動進行歸因的難度。

去年12月，Signal開發團隊正式介紹了「域名前移」這一能夠用於逃避審查機制的技術。

然而令人驚訝的是，APT29組織早在很久之前就已經開始使用此類技術，而當時IT安全社區對此幾乎一無所知。

所謂域名前移技術，是一種依賴在不同應用層使用不同域名的方式逃避審查的技術手段。

根據加利福尼亞大學伯克利分校、Psiphon以及Brave
New
Software公司的研究人員們聯合發表的一篇論文所言，域名前移技術能夠「隱藏通信中的遠程端點。域名前移作為應用層起效，其利用HTTPS與違禁主機進行通信，但表面上看起來卻是在與其它主機通信，從而逃避安全審查。」

這份論文同時解釋稱，「其核心思路在於立足多個不同通信層使用不同域名。其中一個域名用於在HTTPS請求之外進行顯示——即存在於DNS請求與TLS伺服器名指示當中——而另一域名則為內部真實存在，即包含於HTTP主機標頭內且受HTTPS加密保護而無法被審查機制所發現。在這種情況下，審查機制將無法判斷指向該域名的前移及未前移流量，因此只能選擇完全允許全部流量或者徹底屏蔽該域名——這無疑會造成昂貴的附加損害。」

這項域名前移技術易於部分及使用，且不需要由網路中繼機制進行特殊操作。

APT29組織至少在兩年之前就已經開始使用域名前移技術，黑客們利用Tor網路與受感染設備進行通信。為了將Tor流量偽造為合法流量，這群網路犯罪分子使用了Meek——一款專門用於實現域名前移技術的Tor插件，其允許用戶在一條指向google.com的看似無害HTTPS
POST請求內發送實際指向Tor的流量。

FireEye公司發布的分析報告指出，「APT29The
Onion
Router（簡稱TOR）與TOR域名前移插件meek以創建一條隱藏的加密網路隧道，且後者看似是在通過TLS接入谷歌服務。這條隧道能夠為攻擊者提供利用終端服務（簡稱TS）、NetBIOS以及Server
Message
Block（簡稱SMB）服務對主機系統的遠程訪問能力，同時其流量看似指向合法網站。攻擊者亦利用一項常見的Windows安全漏洞以在未經身份驗證的情況下訪問高許可權命令shell。」

攻擊者們利用一套PowerShell腳本外加一個.bat文件在目標系統上安裝Tor客戶端與Meek插件。

APT29組織利用Sticky Keys漏洞替換合法的Windows命令提示符（即cmd.exe）可執行文件，並在目標系統上獲取一條具備SYSTEM級別許可權的shell。通過這種方式，攻擊者們得以執行其它多項命令，其中包括添加新的帳戶。

分析報告進一步介紹稱，「攻擊者執行Powershell腳本C:Program Files(x86)Googlestart.ps1以安裝TOR服務並實現『Sticky Keys』漏洞。此套腳本在執行後即被刪除，且不可恢復。」

這套負責執行Sticky Keys漏洞的腳本亦被用於在目標設備上實現持久駐留，其會創建一項名為「Google Update」的Windows服務。

分析報告總結稱，「通過採用這種公開的實現方案，他們能夠隱藏自己的網路流量、最大程度降低研發需求並使用多種難於歸因的入侵工具。要在網路之上成功檢測到此類活動，需要查看TLS連接並檢查實際網路籤名。」

E安全註：本文系E安全獨家編譯報道，轉載請聯繫授權，並保留出處與鏈接，不得刪減內容。聯繫方式：① 微信號zhu-geliang ②郵箱eapp@easyaq.com

@E安全，最專業的前沿網路安全媒體和產業服務平台，每日提供優質全球網路安全資訊與深度思考，歡迎關注微信公眾號「E安全」（EAQapp），或登E安全門戶網站www.easyaq.com , 查看更多精彩內容。