{"id":11686,"date":"2019-04-24T15:55:12","date_gmt":"2019-04-24T18:55:12","guid":{"rendered":"https:\/\/www.kaspersky.com.br\/blog\/?p=11686"},"modified":"2020-05-20T17:25:28","modified_gmt":"2020-05-20T20:25:28","slug":"domain-fronting-rsa2019","status":"publish","type":"post","link":"https:\/\/www.kaspersky.com.br\/blog\/domain-fronting-rsa2019\/11686\/","title":{"rendered":"As comunica\u00e7\u00f5es ocultas dos cibercriminosos"},"content":{"rendered":"

O Domain fronting<\/em> \u2013 m\u00e9todo utilizado especialmente por hackers para se protegerem em dom\u00ednios de terceiros \u2013 ficou em evid\u00eancia depois que o Telegram o usou<\/a> para evitar ser bloqueado pelo Roskomnadzor, regulador de Internet russo. A aplica\u00e7\u00e3o da t\u00e9cnica foi parte de uma das discuss\u00f5es promovidas pelos pesquisadores do Instituto SANS na Confer\u00eancia RSA 2019. Para os cibercriminosos, o esquema n\u00e3o \u00e9 um vetor de ataque, mas uma maneira de controlar um computador infectado e extrair dados. Ed Skoudis, cujo estudo sobre manipula\u00e7\u00e3o de DNS j\u00e1 falamos em publica\u00e7\u00f5es anteriores<\/a>, descreveu um plano de a\u00e7\u00e3o t\u00edpico dos cibercriminosos que querem \u201cdesaparecer nas nuvens\u201d.
\nA detec\u00e7\u00e3o da maioria dos ataques de APT ocorre durante a troca de informa\u00e7\u00f5es com o servidor de comando. Transmiss\u00f5es s\u00fabitas entre um computador de uma rede corporativa e uma m\u00e1quina externa desconhecida \u00e9 sinal de alarme, o que certamente ir\u00e1 desencadear uma resposta da equipe de seguran\u00e7a da informa\u00e7\u00e3o, e, \u00e9 por isso que os cibercriminosos decidem esconder essas comunica\u00e7\u00f5es. Portanto, para esse tipo de golpe \u00e9 cada vez mais comum usar redes de distribui\u00e7\u00e3o de conte\u00fado (CDNs<\/a> na sigla em ingl\u00eas).<\/p>\n

O algoritmo descrito por Skoudis \u00e9 o seguinte:<\/p>\n

    \n
  1. Existe um computador infectado por malware na rede corporativa.<\/li>\n
  2. Este dispositivo envia uma solicita\u00e7\u00e3o de DNS para um site verdadeiro e transparente de uma CDN confi\u00e1vel.<\/li>\n
  3. Os cibercriminosos, tamb\u00e9m clientes desta CDN, hospedam um site malicioso l\u00e1.<\/li>\n
  4. O computador infectado estabelece uma conex\u00e3o TLS criptografada com o site confi\u00e1vel.<\/li>\n
  5. Nesse contexto, o malware faz uma solicita\u00e7\u00e3o HTTP 1.1 que vai para o servidor da web do invasor na mesma CDN.<\/li>\n
  6. O site renova a solicita\u00e7\u00e3o para seus servidores de malware.<\/li>\n
  7. O canal de comunica\u00e7\u00e3o \u00e9 estabelecido.<\/li>\n<\/ol>\n

    \"\"<\/p>\n

    Para os especialistas de seguran\u00e7a respons\u00e1veis \u200b\u200bpela rede corporativa, este ciberataque parece ser uma comunica\u00e7\u00e3o com um site seguro de uma CDN conhecida e por meio de um canal criptografado, afinal, consideram a CDN, da qual a empresa \u00e9 tamb\u00e9m cliente, como parte de uma rede confi\u00e1vel. Mas tudo isso \u00e9 um erro.<\/p>\n

    Segundo Skoudis, estes s\u00e3o os sintomas de uma armadilha muito perigosa. O domain fronting n\u00e3o \u00e9 agrad\u00e1vel, mas pode ser gerenciado. A parte mais arriscada desta quest\u00e3o \u00e9 que os cibercriminosos est\u00e3o se aprofundando nas tecnologias de nuvem. Em teoria, eles podem criar canais nas CDNs e ocultar suas atividades a partir de servi\u00e7os em nuvem, viabilizando assim uma \u201cmaquiagem na conex\u00e3o\u201d. A probabilidade de uma CDN bloquear outra por raz\u00f5es de seguran\u00e7a \u00e9 praticamente nula e prejudicaria seriamente seu neg\u00f3cio.<\/p>\n

    Para lidar com esses tipos de problemas de seguran\u00e7a online, Skoudis recomenda o uso de t\u00e9cnicas de intercepta\u00e7\u00e3o TLS. Mas o principal \u00e9 estar ciente desse cen\u00e1rio e n\u00e3o esquecer desse vetor de ataque na nuvem quando estiver modelando as amea\u00e7as.<\/p>\n

    Os especialistas da Kaspersky Lab tamb\u00e9m t\u00eam experi\u00eancia com este tipo de estrat\u00e9gia perigosa. Nossa solu\u00e7\u00e3o de seguran\u00e7a Threat Management and Defense<\/a> pode detectar esses canais de comunica\u00e7\u00e3o e destacar poss\u00edveis atividades maliciosas.<\/p>\n\n","protected":false},"excerpt":{"rendered":"

    Conhe\u00e7a o domain fronting, sistema usado para ocultar as comunica\u00e7\u00f5es entre um dispositivo infectado e um servidor de comando.<\/p>\n","protected":false},"author":700,"featured_media":11687,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"footnotes":""},"categories":[1119,1655,14,1656],"tags":[1185,1949,515,1948,1890,1889,1660],"class_list":{"0":"post-11686","1":"post","2":"type-post","3":"status-publish","4":"format-standard","5":"has-post-thumbnail","7":"category-business","8":"category-enterprise","9":"category-news","10":"category-smb","11":"tag-business","12":"tag-cdn","13":"tag-ciberataques","14":"tag-conferencia-rsa","15":"tag-rsa2019","16":"tag-rsac","17":"tag-tls"},"hreflang":[{"hreflang":"pt-br","url":"https:\/\/www.kaspersky.com.br\/blog\/domain-fronting-rsa2019\/11686\/"},{"hreflang":"en-in","url":"https:\/\/www.kaspersky.co.in\/blog\/domain-fronting-rsa2019\/15577\/"},{"hreflang":"en-ae","url":"https:\/\/me-en.kaspersky.com\/blog\/domain-fronting-rsa2019\/13122\/"},{"hreflang":"en-us","url":"https:\/\/usa.kaspersky.com\/blog\/domain-fronting-rsa2019\/17498\/"},{"hreflang":"en-gb","url":"https:\/\/www.kaspersky.co.uk\/blog\/domain-fronting-rsa2019\/15648\/"},{"hreflang":"es-mx","url":"https:\/\/latam.kaspersky.com\/blog\/domain-fronting-rsa2019\/14337\/"},{"hreflang":"es","url":"https:\/\/www.kaspersky.es\/blog\/domain-fronting-rsa2019\/18219\/"},{"hreflang":"it","url":"https:\/\/www.kaspersky.it\/blog\/domain-fronting-rsa2019\/17152\/"},{"hreflang":"ru","url":"https:\/\/www.kaspersky.ru\/blog\/domain-fronting-rsa2019\/22571\/"},{"hreflang":"tr","url":"https:\/\/www.kaspersky.com.tr\/blog\/domain-fronting-rsa2019\/5881\/"},{"hreflang":"x-default","url":"https:\/\/www.kaspersky.com\/blog\/domain-fronting-rsa2019\/26352\/"},{"hreflang":"fr","url":"https:\/\/www.kaspersky.fr\/blog\/domain-fronting-rsa2019\/11618\/"},{"hreflang":"de","url":"https:\/\/www.kaspersky.de\/blog\/domain-fronting-rsa2019\/18978\/"},{"hreflang":"ja","url":"https:\/\/blog.kaspersky.co.jp\/domain-fronting-rsa2019\/23020\/"},{"hreflang":"ru-kz","url":"https:\/\/blog.kaspersky.kz\/domain-fronting-rsa2019\/18224\/"},{"hreflang":"en-au","url":"https:\/\/www.kaspersky.com.au\/blog\/domain-fronting-rsa2019\/22430\/"},{"hreflang":"en-za","url":"https:\/\/www.kaspersky.co.za\/blog\/domain-fronting-rsa2019\/22366\/"}],"acf":[],"banners":"","maintag":{"url":"https:\/\/www.kaspersky.com.br\/blog\/tag\/business\/","name":"Business"},"_links":{"self":[{"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/posts\/11686","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/users\/700"}],"replies":[{"embeddable":true,"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/comments?post=11686"}],"version-history":[{"count":4,"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/posts\/11686\/revisions"}],"predecessor-version":[{"id":15393,"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/posts\/11686\/revisions\/15393"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/media\/11687"}],"wp:attachment":[{"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/media?parent=11686"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/categories?post=11686"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/tags?post=11686"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}