Domänen som får åtkomst till ditt nätverk kanske inte är som den verkar. Domänfronting tillåter en angripare att smyga sig in från vad som verkar vara en legitim källa.
De säger att allt är rättvist i krig. Cyberkriminella går allt för att vinna cyberkriget genom att implementera alla möjliga sätt att attackera intet ont anande offer för deras data. De använder de största bedrägerierna för att maskera sin identitet och överraska dig med tekniker som domänfrontsattacker.
Den till synes legitima domänen som får åtkomst till ditt nätverk kanske inte är legitim trots allt. För allt du vet kan en angripare fronta den för att sätta dig i ett snävt hörn. Detta är vad som kallas en domänfrontsattack. Finns det något du kan göra åt det?
Vad är en domänfrontsattack?
Som en del av regleringen av internet begränsar vissa länder medborgare från att komma åt specifikt onlineinnehåll och webbplatser genom att blockera trafik från användare inom deras territorium. Om de inte kan komma åt dessa svartlistade webbplatser på ett legitimt sätt, söker vissa människor otillåtna tillgångar.
Domänfronting är en process där en användare döljer sin domän för att komma åt en webbplats som de är förbjudna att komma åt på sin plats. En domänfrontingsattack, å andra sidan, är en process för att fronta en legitim domän med teknikerna för domänfronting, för att attackera ett nätverk.
Ursprungligen var domänfronting inte ett medel för cyberattack. Icke-illvilliga användare kan använda den för att kringgå censur mot vissa domäner på deras plats. Till exempel, i det kinesiska fastlandet där YouTube är förbjudet, kan en användare använda domänfronting för att komma åt YouTube för ofarliga underhållningsändamål utan att kompromissa med någons konto. Men eftersom det var ett bekvämt sätt att slå säkerhetskontroller, kapade cyberkriminella det för sina själviska vinster, därav attackfaktorn.
Hur fungerar en domänfrontsattack?
För att slå ut censuren på marken tar en domän-frontande aktör identiteten som en legitim internetanvändare, vanligtvis en som är från en annan geografisk plats. Content Delivery Network (CDN), ett arkiv av proxyservrar över hela världen, spelar en viktig roll i en domänfrontsattack.
När du vill komma åt en webbplats utlöser du följande förfrågningar:
- DNS: Din internetanslutna enhet har en IP-adress. Denna adress är unik och exklusiv för din enhet. När du försöker komma åt en webbplats, du initiera en begäran om domännamnssystem (DNS). som konverterar ditt domännamn till en IP-adress.
- HTTP: Hypertext Transfer Protocol (HTTP)-begäran kopplar din åtkomstförfrågan till hypertexter inom World Wide Web (WWW).
- TLS: Transportlagersäkerhetsförfrågan (TLS) konverterar dina HTTP-kommandon till HTTPS via kryptering och säkrar indata mellan dina webbläsare och servrar.
I grund och botten konverterar en DNS ditt domännamn till en IP-adress, och IP-adressen körs på en HTTP- eller HTTPS-anslutning. Konverteringen av ditt domännamn till en IP-adress ändrar inte din domän; det förblir detsamma. Men i domänfronting, medan din domän förblir densamma i DNS och TLS, ändras den i HTTPS. DNS-posterna visar den legitima domänen men HTTPS omdirigerar till en förbjuden.
Du bor till exempel i ett land där example.com är blockerad men du vill komma åt det ändå. Ditt mål är att komma åt example.com med hjälp av en legitim webbplats som makeuseof.com. Förfrågningarna till din DNS och TLS kommer att peka på makeuseof.com men din HTTPS-anslutning kommer att peka på example.com.
Domain fronting utnyttjar avancerad säkerhet för HTTPS att vara framgångsrik. Eftersom HTTPS är krypterat kan det kringgå säkerhetsprotokoll utan upptäckt.
Cyberbrottslingar utnyttjar ovanstående scenario för att lansera attacker mot domänen. Istället för att fronta en legitim domän för att komma åt webbplatser som de är begränsade från på grund av censur, frontar de en legitim domän för att stjäla data och utföra tillhörande skadliga uppgifter.
Hur man förhindrar domänfrontsattacker
När cyberbrottslingar lanserar domänfrontsattacker, frontar de inte bara vilka legitima domäner som helst, utan högt rankade. Och det beror på att sådana domäner har ett rykte om sig att vara autentiska. Du skulle naturligtvis inte ha någon anledning till misstanke när du ser en legitim domän i ditt nätverk.
Du kan förhindra domän-fronting attacker på följande sätt.
Installera en proxyserver
A proxyserver är en mellanhand eller mellanhand mellan dig (din enhet) och internet. Det är ett säkerhetssystem som förhindrar användare från att komma åt internet direkt, särskilt eftersom användartrafik kan vara skadligt. Med andra ord filtrerar den trafik för att leta efter hotvektorer innan den släpps in i en webbapplikation.
För att förhindra domänfronting, konfigurera din proxyserver för att fånga upp all TLS-kommunikation och se till att HTTP-värdhuvudet är detsamma som HTTPS omdirigerar. Baserat på dina inställningar kommer systemet att neka åtkomst om det upptäcker en felaktighet.
Undvik att dingla DNS-poster
Alla poster i din DNS är tänkta att dirigera trafikinmatning till angivna kanaler. När du gör en post som DNS inte kan bearbeta på grund av frånvaron av resursen, har du en hängande DNS-post.
En DNS-post dinglar när den antingen är felkonfigurerad eller föråldrad och inte är användbar för DNS-kommandon. Detta skapar utrymme för domännära attacker eftersom hotaktörer använder posterna för sina skadliga aktiviteter.
För att förhindra att domänfrontsattacker dinglar DNS-poster måste du alltid hålla dina DNS-poster rena. Utför regelbunden sanering för att kontrollera om det finns gamla och inaktuella poster och radera dem. Du kan använda ett DNS-övervakningsverktyg för att automatisera processen. Den genererar en lista över alla dina aktiva resurser i DNS-posterna och pekar ut de icke-aktiva.
Anta kodsignering
Kodsignering är signering av programvara med digitala signaturer, såsom Public Key Infrastructure (PKI) för att visa användarna att programvaran är intakt utan någon ändring. Huvudmålet med kodsignering är att försäkra användarna om att applikationen de laddar ner är äkta.
Med kodsignering kan du signera din domän och andra resurser i dina DNS-poster för att visa deras integritet och skapa en kedja av förtroende mellan dem. Systemet kommer inte att validera eller bearbeta någon resurs eller kommando som inte har den auktoriserade signaturen intryckt.
Implementera Zero Security Trust för att förhindra domänfrontsattacker
Domänfrontsattacker belyser farorna som är förknippade med domäntrafik. Om hackare kan fronta legitima auktoritetsplattformar för att penetrera ditt system, visar det att du inte kan lita på någon plattform.
Att implementera nollförtroendesäkerhet är vägen att gå. Se till att all trafik till ditt nätverk genomgår standardsäkerhetskontroller för att verifiera dess integritet.