Marianne ANSSI

CERT-FR

Centre gouvernemental de veille, d'alerte et de réponse aux attaques informatiques

logo ANSSI
Informations utiles

Que faire en cas d'intrusion ?

Les systèmes obsolètes

Liens utiles

 

L'ANSSI recrute

 

 

Les documents du CERT-FR

Publications récentes

Les alertes en cours

Les bulletins d'actualité

Les notes d'information

Année en cours Archive

 

Les Flux RSS du CERT-FR

Flux RSS complet

RSS

Flux RSS des alertes

RSS

Flux RSS SCADA

RSS

 

CERTFR-2017-ACT-018

Imprimer ce document

Version PDF

À propos du CERT-FR

Le CERT-FR

Nous contacter

Contact us ( Drapeau anglais )

A propos du site

Communauté CSIRT

Les CSIRT

Le FIRST

L'EGC

 
Archives du CERT-FR

Année 2017 Archive

Année 2016 Archive

Année 2015 Archive

Année 2014 Archive

Année 2013 Archive

Année 2012 Archive

Année 2011 Archive

Année 2010 Archive

Année 2009 Archive

Année 2008 Archive

Année 2007 Archive

Année 2006 Archive

Année 2005 Archive

Année 2004 Archive

Année 2003 Archive

Année 2002 Archive

Année 2001 Archive

Année 2000 Archive

 

S . G . D . S . N
Agence nationale
de la sécurité des
systèmes d'information

République Française Paris, le 02 mai 2017
No CERTFR-2017-ACT-018

Affaire suivie par :

CERT-FR

Objet : Bulletin d'actualité CERTFR-2017-ACT-018

1 - Utilisation du Domain Fronting pour obscurcir une empreinte réseau

Description

Dans une communication HTTPs, le nom de domaine que le client souhaite contacter apparait trois fois :
  1. dans la requête DNS permettant de trouver l'adresse IP numérique du serveur à contacter ;
  2. dans le champ TLS-SNI quand le client demande le certificat TLS du serveur ;
  3. dans le champ Host de l'en-tête de la requête HTTP envoyé dans le tunnel chiffré.
Les deux premières instances apparaissent en clair sur le réseau, mais la troisième est protégée par le chiffrement TLS.

Le Domain Fronting consiste à remplacer ces deux instances visibles en clair par un autre nom de domaine A, tout en conservant la troisième à la valeur originale B. Si ces deux noms de domaine pointent vers l'adresse IP d'un serveur publiant les deux sites web, la connexion TLS sera établie, puis le serveur se basera sur le contenu du champ Host pour choisir quel contenu fournir.

Ainsi le client obtiendra le contenu qu'il attend provenant du site B, tout en semblant, pour un observateur extérieur se basant sur les métadonnées du trafic, communiquer avec le site A. Cette configuration est possible avec des serveurs d'hébergements mutualisés, où de nombreux sites partagent la même adresse IP, ou encore pour des sites utilisant un CDN tel que cloudflare, akamai, etc. Cette technique est utilisée et documentée depuis plusieurs années par le logiciel d'anonymisation TOR afin de contourner des mécanismes mis en place par certains états pour en interdire l'usage.

Utilisation malveillante

Le CERT-FR a constaté l'utilisation de cette technique dans plusieurs incidents, dans lesquelles un logiciel malveillant s'en sert pour dissimuler ses communications avec son serveur de contrôle et de commandes.

Dans ce cas, les seules traces visibles dans les journaux DNS et dans les journaux proxy ne font apparaitre que le site A qui est un site légitime, quand le domaine malveillant B n'apparait nulle part, rendant plus complexe la détection et le confinement de cette menace.

Contre-mesures

Lors de recherches de traces réseau, il est important de prendre en compte non seulement les noms de domaines malveillants, mais également de rechercher directement les adresses IP derrière ces noms de domaines.

Il convient également d'apporter une attention particulière aux noms de domaines et IPs de CDNs qui se prêtent particulièrement à ce type de pratiques. Ces éléments sont également à prendre en compte lors de la mise en place de listes noires pour le blocage de sites malveillants.

Documentation


2 - Rappel des avis émis

Dans la période du 23 au 30 avril 2017, le CERT-FR a émis les publications suivantes :

  • CERTFR-2017-AVI-128 : Multiples vulnérabilités dans le noyau Linux d'Ubuntu
  • CERTFR-2017-AVI-129 : Multiples vulnérabilités dans IBM Domino
  • CERTFR-2017-AVI-130 : Multiples vulnérabilités dans Adobe ColdFusion
  • CERTFR-2017-AVI-131 : Multiples vulnérabilités dans le noyau Linux de SUSE
  • CERTFR-2017-AVI-132 : Vulnérabilité dans NVIDIA GeForce Experience
  • CERTFR-2017-AVI-133 : Vulnérabilité dans Ghostscript

Gestion détaillée du document

02 mai 2017
version initiale.
Dernière version de ce document : http://cert.ssi.gouv.fr/site/CERTFR-2017-ACT-018

CERT-FR
2017-05-02
Premier Ministre / Secrétariat Général de la Défense et de la Sécurité Nationale / Agence nationale de la sécurité des systèmes d'information webmestre Dernière mise à jour : le 2017-06-22