Оффлайн
Apollon
Заблокирован
- Регистрация
- 07.09.17
- Сообщения
- 5.309
- Реакции
- 1.010
- Репутация
- 1.625
You must be registered for see images attach
Новый метод предполагает передачу данных во время обмена сертификатами.
Исследователи из FidelisпредставилиPoC-фреймворк для создания скрытого канала передачи данных с использованием TLS-протокола. Разработанный специалистами метод предполагает использование стандарта для инфраструктуры открытого ключа X.509 и позволяет скрыть подключение к C&C-серверу и передачу данных в обход защиты периметра сети (при наличии к ней доступа).
По словам исследователей, обмен данными базируется на рукопожатии TLS при обмене сертификатами. Установление TLS-сессии не требуется, поскольку скрытый обмен данными происходит во время рукопожатия с использованием расширения TLS X.509. Передаваемые через расширения X.509 данные могут обходить механизмы обнаружения, не предполагающие проверку значений сертификата. Поэтому лицо, уже имеющее доступ к сети, может обойти средства защиты периметра и осуществить обмен данными, пояснили эксперты.
Атака работает по тому же принципу, что и другие методы сокрытия передачи данных, например, DNS-туннелирование, предполагающее использование транспортного уровня TXT в протоколе DNS. Как отметили исследователи, в случае с расширением X.509 злоумышленник может использовать его как скрытый канал или добавить в сертификат произвольные данные.
В сертификатах TLS X.509 есть множество полей, где могут храниться строки. В этих полях содержится информация о версии, серийном номере, имени выдавшего сертификат УЦ, сроке действия и т.д. По словам исследователей, в них также могут храниться передаваемые данные. Поскольку обмен сертификатами происходит до установления TLS-сессии, по факту, передача данных не происходит, хотя на самом деле обмен данными осуществляется в момент обмена сертификатами.