Die Domäne, die auf Ihr Netzwerk zugreift, ist möglicherweise nicht das, was sie zu sein scheint. Domain-Fronting ermöglicht es einem Angreifer, sich von scheinbar legitimen Quellen einzuschleichen.
Sie sagen, im Krieg ist alles fair. Cyberkriminelle setzen alles daran, den Cyberkrieg zu gewinnen, indem sie alle möglichen Mittel einsetzen, um ahnungslose Opfer wegen ihrer Daten anzugreifen. Sie setzen die größten Täuschungen ein, um ihre Identität zu verschleiern, und überraschen Sie mit Techniken wie Domain-Fronting-Angriffen.
Diese scheinbar legitime Domain, die auf Ihr Netzwerk zugreift, ist möglicherweise doch nicht legitim. Soweit Sie wissen, könnte ein Angreifer vorneweg gehen, um Sie in eine enge Ecke zu bringen. Dies wird als Domain-Fronting-Angriff bezeichnet. Gibt es etwas, was Sie dagegen tun können?
Was ist ein Domain-Fronting-Angriff?
Im Rahmen der Regulierung des Internets schränken einige Länder den Zugriff von Bürgern auf bestimmte Online-Inhalte und Websites ein, indem sie den Datenverkehr von Benutzern innerhalb ihres Hoheitsgebiets blockieren. Da einige Personen keinen rechtmäßigen Zugriff auf diese auf der schwarzen Liste stehenden Websites haben, suchen sie nach unbefugten Zugriffsmöglichkeiten.
Domain-Fronting ist ein Prozess, bei dem ein Benutzer seine Domain verschleiert, um auf eine Website zuzugreifen, deren Zugriff an seinem Standort verboten ist. Ein Domänen-Fronting-Angriff hingegen ist ein Prozess, bei dem eine legitime Domäne mit den Techniken des Domänen-Frontings angegriffen wird, um ein Netzwerk anzugreifen.
Ursprünglich war Domain Fronting kein Cyberangriffsmittel. Nicht böswillige Benutzer könnten es verwenden, um die Zensur gegen bestimmte Domänen an ihrem Standort zu umgehen. In Festlandchina, wo YouTube verboten ist, könnte ein Benutzer beispielsweise Domain-Fronting verwenden, um zu harmlosen Unterhaltungszwecken auf YouTube zuzugreifen, ohne das Konto einer anderen Person zu gefährden. Aber als sie sahen, dass es eine bequeme Möglichkeit war, Sicherheitskontrollen zu umgehen, entführten Cyberkriminelle es für ihre egoistischen Gewinne, daher der Angriffsfaktor.
Wie funktioniert ein Domain-Fronting-Angriff?
Um die Zensur vor Ort zu umgehen, nimmt ein Domain-Fronting-Akteur die Identität eines legitimen Internetnutzers an, der normalerweise von einem anderen geografischen Standort stammt. Das Content Delivery Network (CDN), ein Repository von Proxy-Servern auf der ganzen Welt, spielt eine wichtige Rolle bei einem Domain-Fronting-Angriff.
Wenn Sie eine Website aufrufen möchten, lösen Sie folgende Anfragen aus:
- DNS: Ihr mit dem Internet verbundenes Gerät hat eine IP-Adresse. Diese Adresse ist einzigartig und exklusiv für Ihr Gerät. Wenn Sie versuchen, auf eine Website zuzugreifen, werden Sie Initiieren Sie eine DNS-Anfrage (Domain Name System). der Ihren Domainnamen in eine IP-Adresse umwandelt.
- HTTP: Die HTTP-Anforderung (Hypertext Transfer Protocol) verbindet Ihre Zugriffsanforderung mit Hypertexten im World Wide Web (WWW).
- SSL: Die Transport Layer Security (TLS)-Anforderung wandelt Ihre HTTP-Befehle verschlüsselt in HTTPS um und sichert die Eingabe zwischen Ihren Webbrowsern und Servern.
Grundsätzlich wandelt ein DNS Ihren Domainnamen in eine IP-Adresse um, und die IP-Adresse läuft über eine HTTP- oder HTTPS-Verbindung. Die Umwandlung Ihres Domainnamens in eine IP-Adresse ändert Ihre Domain nicht; es bleibt gleich. Aber beim Domain-Fronting bleibt Ihre Domain zwar in DNS und TLS gleich, sie ändert sich jedoch in HTTPS. Die DNS-Einträge zeigen die legitime Domäne, aber HTTPS leitet auf eine verbotene um.
Sie leben beispielsweise in einem Land, in dem example.com gesperrt ist, möchten aber trotzdem darauf zugreifen. Ihr Ziel ist es, über eine legitime Website wie makeuseof.com auf example.com zuzugreifen. Die Anfragen an Ihr DNS und TLS verweisen auf makeuseof.com, Ihre HTTPS-Verbindung jedoch auf example.com.
Domain-Fronting nutzt die Erweiterte Sicherheit von HTTPS erfolgreich sein. Da HTTPS verschlüsselt ist, kann es Sicherheitsprotokolle unbemerkt umgehen.
Cyberkriminelle nutzen das obige Szenario, um Domain-Fronting-Angriffe zu starten. Anstatt eine legitime Domain zu betreiben, um auf Websites zuzugreifen, von denen sie aufgrund von Zensur ausgeschlossen sind, betreiben sie eine legitime Domain, um Daten zu stehlen und damit verbundene schädliche Aufgaben auszuführen.
So verhindern Sie Domain-Fronting-Angriffe
Beim Starten von Domain-Fronting-Angriffen greifen Cyberkriminelle nicht nur irgendwelche legitimen Domains an, sondern hochrangige. Und das liegt daran, dass solche Domains den Ruf haben, authentisch zu sein. Sie haben natürlich keinen Grund zum Verdacht, wenn Sie eine legitime Domain in Ihrem Netzwerk entdecken.
Sie können Domain-Fronting-Angriffe auf folgende Weise verhindern.
Installieren Sie einen Proxy-Server
A Proxy-Server ist ein Mittelsmann oder Vermittler zwischen Ihnen (Ihrem Gerät) und dem Internet. Es ist ein Sicherheitssystem, das verhindert, dass Benutzer direkt auf das Internet zugreifen, insbesondere da der Benutzerverkehr schädlich sein kann. Mit anderen Worten, es filtert den Datenverkehr, um nach Bedrohungsvektoren zu suchen, bevor er in eine Webanwendung gelassen wird.
Um Domain-Fronting zu verhindern, konfigurieren Sie Ihren Proxy-Server so, dass er alle TLS-Kommunikationen abfängt, und stellen Sie sicher, dass der HTTP-Host-Header mit dem identisch ist, den HTTPS umleitet. Basierend auf Ihren Einstellungen verweigert das System den Zugriff, wenn es eine Diskrepanz feststellt.
Vermeiden Sie baumelnde DNS-Einträge
Alle Einträge in Ihrem DNS sollen den Verkehrseingang zu bestimmten Kanälen leiten. Wenn Sie einen Eintrag vornehmen, den das DNS aufgrund des Fehlens der Ressource nicht verarbeiten kann, haben Sie einen baumelnden DNS-Eintrag.
Ein DNS-Eintrag baumelt, wenn er entweder falsch konfiguriert oder veraltet ist und für die DNS-Befehle nicht nützlich ist. Dies schafft Raum für Domain-Fronting-Angriffe, da Bedrohungsakteure die Einträge für ihre böswilligen Aktivitäten verwenden.
Um zu verhindern, dass Domain-Fronting-Angriffe DNS-Einträge baumeln lassen, müssen Sie Ihre DNS-Einträge immer sauber halten. Führen Sie eine regelmäßige Bereinigung durch, um nach alten und veralteten Einträgen zu suchen und diese zu löschen. Sie können ein DNS-Überwachungstool verwenden, um den Prozess zu automatisieren. Es generiert eine Liste aller Ihrer aktiven Ressourcen in den DNS-Einträgen und wählt die nicht aktiven aus.
Code Signing übernehmen
Code Signing ist das Signieren von Software mit digitalen Signaturen wie Public Key Infrastructure (PKI), um Benutzern zu zeigen, dass die Software ohne jegliche Änderung intakt ist. Das Hauptziel der Codesignierung besteht darin, den Benutzern zu versichern, dass die Anwendung, die sie herunterladen, authentisch ist.
Code Signing ermöglicht es Ihnen, Ihre Domain und andere Ressourcen in Ihren DNS-Einträgen zu signieren, um ihre Integrität zu demonstrieren und eine Vertrauenskette zwischen ihnen aufzubauen. Das System validiert oder verarbeitet keine Ressourcen oder Befehle, auf denen nicht die autorisierte Signatur aufgedruckt ist.
Implementieren Sie Zero Security Trust, um Domain-Fronting-Angriffe zu verhindern
Domain-Fronting-Angriffe heben die Gefahren hervor, die mit Domain-Traffic verbunden sind. Wenn Hacker legitime Autoritätsplattformen nutzen können, um in Ihr System einzudringen, zeigt dies, dass Sie keiner Plattform vertrauen können.
Die Implementierung von Zero-Trust-Sicherheit ist der richtige Weg. Stellen Sie sicher, dass jeder Datenverkehr zu Ihrem Netzwerk standardmäßigen Sicherheitsprüfungen unterzogen wird, um seine Integrität zu überprüfen.
