网络间谍组织 ATP29 使用 Domain Fronting 技术规避检测

根据 FireEye 周一最新发布，俄罗斯网络间谍组织 APT29 使用 “ Domain Fronting ” 技术加大目标组织恶意流量识别难度。

Domain Fronting 是一种掩盖连接端点的组网技术，可使恶意流量经伪装后访问主机操作系统。近期，Open Whisper Systems 就曾使用该技术帮助埃及和阿拉伯联合酋长国的 Signal（一款提供全球语音通话免费加密服务的 iPhone 应用程序）用户绕过政府机构审查。

黑客组织 APT29 早在 2015 年初就已使用该技术，并被指认为是干预美国大选与入侵挪威政府机构网络的幕后黑手。该组织使用 Tor 匿名网络和 Tor 流量混淆插件 “Meek”， 创建一个看似通过 TLS 连接至 Google 服务的隐形加密网络隧道，使攻击者得以在伪装合法网站流量的同时使用终端服务（ TS ）、NetBIOS 和服务器消息块（ SMB ）协议远程访问主机操作系统。

攻击者使用 PowerShell 脚本与 .bat 文件在目标系统上安装 Tor 客户端与 Meek 插件，并将合法可执行文件替换成 Windows 命令提示符（ cmd.exe ），生成可执行系统级别权限（包括添加或修改账户在内）命令的 shell 。此外，执行粘滞键漏洞的脚本还创建一个名为“ Google Update ”的 Windows 服务，以确保后门在系统重启后仍然有效。

FireEye 专家称，APT29 启用此项公开技术不仅难追溯源还节省了隐藏恶意流量的研发成本，因为检测此行动需要对 TLS 连接和有效网络信号具有一定程度的了解。

原作者：Eduard Kovacs， 译者：青楚     校对：Liuf

from hackernews.cc.thanks for it.