Sempre se diz que vale tudo na guerra. Os cibercriminosos fazem o possível para vencer a guerra cibernética implementando todos os meios possíveis para atacar vítimas inocentes para roubar seus dados. Eles costumam publicar os maiores golpes para ocultar sua identidade e surpreendê-lo com técnicas como ataques de Domain Fronting.
Esse domínio aparentemente confiável para permitir o acesso à sua rede pode não ser legítimo, afinal. Pelo que você sabe, um atacante pode estar na frente para colocá-lo em um canto apertado. Isso é conhecido como ataque de Domain Fronting. Existe alguma coisa que você pode fazer sobre isso? Verificar O que é Domain Fronting?
Links Rápidos
O que é um ataque frontal de domínio?
Como parte da regulamentação da Internet, alguns países restringem o acesso de cidadãos a determinados conteúdos e sites online, bloqueando o tráfego de dados de usuários em seu território. Quando você não consegue mais acessar esses sites normalmente na lista negra, algumas pessoas procuram meios de acesso não autorizados.
Domain Fronting é um processo no qual um usuário oculta seu domínio para acessar um site que ele está impedido de acessar em sua região. Por outro lado, o ataque de Domain Fronting é o processo de combater um domínio legítimo com técnicas de Domain Fronting, para atacar uma rede especificada.
Originalmente, a tecnologia Domain Fronting não era um ataque cibernético. Usuários inofensivos podem usá-lo para contornar a censura em determinados domínios onde estão localizados. Por exemplo, na China continental, onde o YouTube é banido, um usuário pode usar Domain Fronting para acessar o YouTube para fins de entretenimento inofensivo sem comprometer a conta de ninguém. Mas, como era uma maneira conveniente de contornar as verificações de segurança, os cibercriminosos o sequestraram para obter ganhos egoístas, daí o fator de ataque. Verificar O que é um ataque de salame? Você pode ser uma vítima e não sabe.
Como funciona um ataque de Domain Fronting?
Para contornar a censura e a restrição geográfica, um representante de front-end de domínio assume a identidade de um usuário legítimo da Internet, geralmente de uma localização geográfica diferente. A Content Delivery Network (CDN), um repositório de servidores proxy em todo o mundo, desempenha um papel importante no ataque de Fronteira de Domínio.
Quando você deseja acessar um site, executa as seguintes solicitações:
- DNS: O dispositivo de ligação à Internet contém um endereço IP. Este endereço é único e exclusivo para o seu dispositivo. Ao tentar acessar um site, você inicia uma solicitação do Domain Name System (DNS) que converte seu nome de esperma em um endereço IP.
- HTTP: Uma solicitação HTTP associa sua solicitação de acesso a um hipertexto na World Wide Web (WWW).
- TLS: Uma solicitação de Transport Layer Security (TLS) converte comandos HTTP em HTTPS por meio de criptografia e protege a entrada entre navegadores da web e servidores.
Basicamente, o DNS converte um nome de domínio em um endereço IP, e o endereço IP opera em uma conexão HTTP ou HTTPS. Converter seu nome de domínio em um endereço IP não altera seu domínio; Permanece o mesmo. Mas no Domain Fronting, enquanto seu domínio permanece o mesmo em DNS e TLS, ele muda em HTTPS. Os registros DNS mostram o domínio legítimo, mas o HTTPS redireciona para um domínio bloqueado.
Por exemplo, você mora em um país onde example.com está bloqueado, mas deseja acessá-lo mesmo assim. Seu objetivo é acessar example.com usando um site legítimo como dztechy.com. As solicitações de DNS e TLS apontarão para dztechy.com, mas sua conexão HTTPS apontará para example.com.
A tecnologia Domain Fronting aproveita a segurança avançada do HTTPS para ser bem-sucedida. Como o HTTPS é criptografado, ele pode ignorar os protocolos de segurança sem ser detectado.
Os cibercriminosos aproveitam o cenário acima para lançar ataques de Domain Fronting. Em vez de enfrentar um domínio legítimo para acessar sites bloqueados pela censura, eles enfrentam um domínio legítimo para roubar dados e executar tarefas maliciosas associadas a ele.
Como prevenir ataques de Domain Fronting
Ao lançar ataques de Domain Fronting, os cibercriminosos não apenas avançam com quaisquer domínios legítimos, mas também procuram domínios de classificação mais alta. Isso ocorre porque esses domínios têm a reputação de serem autênticos. Naturalmente, você não terá motivos para suspeitar quando descobrir um domínio legítimo em sua rede.
Você pode evitar ataques de domínio frontal das seguintes maneiras.
Instalar servidor proxy
Um servidor proxy é um intermediário entre você (seu dispositivo) e a Internet. É um sistema de segurança que impede que os usuários acessem a Internet diretamente, especialmente porque o tráfego do usuário pode ser malicioso. Em outras palavras, ele filtra o tráfego para verificar se há vetores de ameaças antes de permitir que eles entrem em um aplicativo da web.
Para impedir o Domain Fronting, configure o servidor proxy para interceptar todas as conexões TLS e certifique-se de que o cabeçalho do host HTTP seja o mesmo que o encaminhamento HTTPS. Dependendo de suas configurações, o sistema negará o acesso se perceber uma incompatibilidade.
Evite entradas de DNS pendentes
Todas as entradas em seu DNS devem direcionar as entradas de tráfego para os canais especificados. Quando você faz uma entrada que o DNS não pode processar porque o recurso está ausente, você tem um registro DNS pendente.
O registro dns trava quando está mal configurado ou desatualizado e não é útil para comandos dns. Isso cria espaço para ataques de Domain Fronting, pois os invasores usam as entradas para suas atividades maliciosas.
Para evitar que os ataques de Domain Fronting suspendam as entradas de DNS, você deve sempre manter seus registros de DNS limpos. Realize uma limpeza regular para verificar se há entradas antigas e desatualizadas e excluí-las. Você pode usar a ferramenta DNS Monitor para automatizar o processo. Ele cria uma lista de todos os seus recursos ativos nos registros DNS e destaca os recursos inativos. Verificar Como seu servidor pode ser hackeado: veja como.
Aprovação de assinatura de código
A assinatura de código é a assinatura de software com assinaturas digitais, como uma infraestrutura de chave pública (PKI), para mostrar aos usuários que o aplicativo está intacto. O principal objetivo da assinatura de código é garantir aos usuários que o aplicativo que estão baixando é genuíno.
A assinatura de código permite que você assine o nome de domínio e outros recursos em seus registros DNS para mostrar sua integridade e criar uma cadeia de confiança entre eles. O sistema não validará ou processará qualquer recurso ou pedido que não tenha uma assinatura autorizada impressa nele. Verificar O que é defesa móvel contra riscos? Como manter seu smartphone seguro.
Implemente um modelo de segurança de confiança zero para evitar ataques de Domain Fronting
Os ataques de Domain Fronting destacam os riscos associados ao tráfego de nomes de domínio. Se um hacker pode usar uma variedade de plataformas legítimas para invadir seu sistema, isso mostra que você não pode confiar em nenhuma plataforma.
A implementação da segurança de confiança zero é o caminho a seguir. Certifique-se de que todo o tráfego para sua rede passe por verificações de segurança padrão para verificar sua integridade. Você pode ver agora Como o hacker ataca servidores FTP e o que você pode fazer para evitá-lo?