您好、欢迎来到现金彩票网!
当前位置:热购彩票app下载 > 公钥 >

一种新的隐蔽通道数据传输方法:滥用X509公钥证书绕过网络防御

发布时间:2019-06-22 15:08 来源:未知 编辑:admin

  原标题:一种新的隐蔽通道数据传输方法:滥用X.509公钥证书绕过网络防御

  最近,我们威胁研究小组研究发现了一种新的隐蔽通道数据传输方法,使用在TLS和SSL加密协议中广泛采用的公钥证书标准(X.509)实现。虽然证书是安全Web通信的关键组件,但交换方式可能会被滥用,从而导致证书本身被劫持用于命令和控制通信。而到目前为止,我们尚未证实这种滥用在野使用。但是,证书的广泛使用意味着许多组织都可能开源这种新的数据传输方法。

  2、在没有建立TLS会话的情况下,TLS握手期间允许C2交换证书[4]。

  4、本博客将提供一个定制的框架作为poc,同时使用Suricata和我们自己Fidelis Elevate平台的技术检测方法,帮助社区加强保护措施,识别未来可能使用的隐藏通道数据传输机制。

  使用隐蔽通道在网络上传输数据并不新鲜。在过去的二十年,各种刊物上都有这样的参考文献[1]。例如,向ICMP追加数据被认为是2005年采用的数据传输方式[2],其引用了1997年的文献。实际上,最早提出采纳实用的隐蔽通道出自1993年的政府刊物[3]。研究人员不断的寻找滥用协议及RFC的新颖方法,以实现难以检测的数据传输方法。

  2018年1月,Fidelis的研究人员Jason Reaves发表了使用X.509扩展来实现隐藏通道的研究[7],扩充了此前的研究[6]。可在已发表的研究[5] [17]中阅读相关方法。

  Jason在论文中描述了一个系统,可用来发送或接收来自客户端和服务器的数据。通过对X.509证书的研究,特别是可将任意二进制数据嵌入证书,或许可将其用作隐蔽通道。研究表明,动力十足的攻击者可利用此技术实现超出预定目标的攻击,最终可绕过常见的安全措施。

  简而言之,TLS X.509证书有很多可以存储字符串的字段,可参见这张图片[16]。这些字段包括版本、序列号、颁发者名称、有效期等。在研究中描述的证书滥用,就是将传输的数据隐藏在这些字段中的一个。由于证书交换在TLS会话建立之前,因此好像没有进行数据传输,而实际上数据在证书交换过程中传输。

  现在,为直接在Fidelis Elevate的证书上应用此正则表达式,需要为测试的PCAP生成一个YARA规则。当这些扩展非常大时会导致大多数库限制最终握手数据包的大小,但证书自身的扩展可创建一个只受内存限制的长度。如果Octet字符串的长度超过127,那么我们的正则表达式不再有效。我们可以利用一些长形式的Octet编码[10]来简单地查找长度大于127的扩展实例,而不是试图检测每一种可能性。比二进制形式的127字节,就很可疑。这就使得我们可以创建另一个YARA字符串来查找{06 03 55 1d 0e 04 8?},它将查找SubjectKeyIentifier中数据长度大于127的任一Octet字符串。

  最新版本的Suricata包括很多围绕TLS的功能,但不幸的是没有包含扩展。幸运的是,我们仍然可以通过TCP直接在证书数据上签名。X.509[8]中的扩展将所有数据都以ASN.1格式[9]存储在OID中:

  由于Suricata中的TLS包不能绑定扩展自身,所以我们首先需要在SSL握手中进行转换,然后有根据的猜测从哪里开始寻找意外扩展。利用在创建YARA规则方面所做的研究,创建以下Suricata规则:

  为扩充自己的研究和框架,我们决定写一个poc,演示如何使用X.509隐蔽通道传输文件。还有比在隐蔽通道上传输Mimikatz [13]更好的选择么?在poc中,恶意二进制文件通过TLS协商传输,模拟威胁行为者将Mimikatz传输到已经攻陷的系统上。

  签名的另一作用是检查证书中的可执行文件。为什么在证书数据内有一个可执行文件?感兴趣的话,演示代码和PCAP文件已经上传到Github [14]。

  最后,在已发布的框架中,我们使用自签名证书。在边界阻止自签名证书可能会成为针对这些攻击的非常有用的保护机制。毕竟,现在我们有LetsEncrypt [15]的免费证书,可从整个社区中获取大量的资源。

  隐蔽通道命令和控制机制的研究会不断产生有趣的传输数据的新方法。本文我们将自己的研究描述为一种实现隐蔽数据传输的方法,此方法可能会被网络边界保护所忽略。此外,还描述了一些检测异常证书来进行隐蔽通信的可能的方法。

  Fidelis Elevate能检测本文中描述的异常证书行为,保护客户。

http://e-ndicus.com/gongyue/499.html
锟斤拷锟斤拷锟斤拷QQ微锟斤拷锟斤拷锟斤拷锟斤拷锟斤拷锟斤拷微锟斤拷
关于我们|联系我们|版权声明|网站地图|
Copyright © 2002-2019 现金彩票 版权所有