El domain fronting y las comunicaciones ocultas de los ciberdelincuentes

11 Abr 2019

El Domain fronting (técnica utilizada por los ciberdelincuentes para protegerse detrás de un dominio de terceros) pasó a primer plano después de que Telegram la utilizara para evitar el bloqueo de Roskomnadzor, el regulador de Internet ruso. Este fue uno de los temas que trataron los portavoces de SANS Institute durante la conferencia RSA 2019. Para los atacantes, el esquema no es tanto un vector de ataque sino una forma de controlar un ordenador infectado y extraer datos robados. Ed Skoudis, de cuyo estudio sobre la manipulación del DNS ya hablamos en publicaciones anteriores, describió un plan de acción típico de los cibercriminales que buscan “desaparecer en las nubes”.

La detección de la mayoría de los ataques de APT se produce durante el intercambio de información con el servidor de mando. Los intercambios repentinos entre un ordenador desde una red corporativa con una máquina externa desconocida son una señal de alarma, que seguramente desencadenará una respuesta del equipo de seguridad de la información, y esta es precisamente la razón por la que los cibercriminales deciden ocultar estas comunicaciones. Por ello, cada vez es más común la utilización de redes de distribución de contenidos (CDN por sus siglas en inglés) para ello.

El algoritmo que Skoudis describió es el siguiente:

  1. Hay un ordenador infectado con malware en la red corporativa.
  2. Este dispositivo envía una petición de DNS en busca de un sitio web fiable y limpio desde un CDN de confianza.
  3. El atacante, también cliente de este CDN, aloja allí su página web.
  4. El ordenador infectado establece una conexión TLS cifrada con el sitio web de confianza.
  5. Dentro de esta conexión, el malware realiza una petición de HTTP 1.1 que se dirige al servidor web del atacante en el mismo CDN.
  6. La página web renvía la petición a sus servidores malware.
  7. Se establece el canal de comunicación.

Para los especialistas de seguridad a cargo de la red corporativa, este ciberataque aparenta ser una comunicación con un sitio web seguro desde un CDN conocido y mediante un canal cifrado, puesto que consideran que el CDN, cliente de la compañía, forma parte de su red de confianza. Pero todo esto es un error.

Según Skoudis, estos son los síntomas de una tendencia muy peligrosa. El domain fronting no es agradable, pero se puede gestionar. La parte más peligrosa de este asunto es que los cibercriminales se están adentrando en las tecnologías de la nube. En teoría, pueden crear cadenas de CDN y ocultar sus actividades tras los servicios en la nube, organizando así un “blanqueo de conexiones”. La probabilidad de que un CDN bloquee a otro por motivos de seguridad es prácticamente nula y perjudicaría gravemente a tu empresa.

Para enfrentarse a este tipo de problemas de seguridad online, Skoudis recomienda utilizar técnicas de intercepción TLS. Pero lo principal es ser consciente de que esto puede suceder y tener en mente este vector de ataque en la nube cuando te expongas a las amenazas.

Los expertos de Kaspersky Lab también tienen experiencia con este tipo de métodos maliciosos. Nuestra solución de seguridad Threat Management and Defense puede detectar estos canales de comunicación y reconocer la posible actividad maliciosa.