3月27日,火眼威胁研究博客文章指出,俄罗斯网络间谍组织APT29一直在用一种名为“域名幌子”(Domain Fronting)的技术,让目标机构难以识别恶意流量。
域名幌子是一种审查规避技术,通过伪装成去往合法主机如谷歌、亚马逊或CloudFlare的流量,来绕过审查机制。Open Whisper Systems 最近实现了该技术以帮助埃及和阿联酋的Signal用户绕过政府审查。
火眼在其博客中写道:
APT29(别名公爵、安逸熊、舒适公爵)至少2年前便已使用该技术。该组织据信是美国大选黑客事件和挪威著名公司攻击活动的背后黑手。
APT29使用了Tor匿名网络与被感染主机通信。Tor流量会被某些防御机制认为是可疑流量。为将Tor流量伪装成合法流量,APT29使用了Meek插件,实现“域名幌子”,将发送到Tor的流量包装进看起来无害的 google.com HTTPS POST 请求中。
Meek工作流示意
在攻击中,APT29使用PowerShell脚本和批处理文件在目标系统上安装Tor客户端和Meek插件。他们利用了粘滞键辅助功能的漏洞,用Windows命令行程序(cmd.exe)替换了合法程序,获取到以系统权限执行命令的shell,可以添加或修改用户账户。
执行粘滞键漏洞利用的脚本还会创建一个名为“谷歌更新”的Windows服务,确保该后门即便系统重启也能驻留。
域名幌子技术广为人知前就已被APT29加以利用了。通过公开的实现,他们成功隐藏了自身网络流量,都不用怎么研究或开发,而且因为是公开的工具,还很难归因溯源。在网络中检测此类活动需要对TLS连接和有效网络特征码的可见性。
相关阅读
揭秘|攻击美国政府系统的俄罗斯黑客
FBI和DHS的联合分析报告也未能指认俄罗斯为攻击美国大选的真凶
