ATT&CK-CN V1.0 Last Update: 2019-03 [返回索引页]

译者: 林妙倩(清华大学网络研究院网络空间安全实习生) 原创翻译作品,如果需要转载请取得翻译作者同意。

数据来源:ATT&CK Matrices

原文: https://attack.mitre.org/techniques/T1172

术语表: /attack/glossary

域前置

域前置利用内容分发网络 (CDNs) 和其他托管多个域的服务中的路由方案来混淆 HTTPS 流量或通过 HTTPS 隧道传输的流量的预期目的地。 该技术在 TLS 报头的 SNI 字段和 HTTP 报头的 Host 字段中使用不同的域名。 如果两个域名来自相同的 CDN,那么 CDN 可以在打开 TLS 报头后路由到 HTTP 报头中指定的地址。 该技术的变体“domainless”前置使用空白的 SNI 字段;即使 CDN 试图验证 SNI 和 HTTP Host 字段是否匹配(如果忽略空白 SNI 字段),前置也可以工作。 例如,如果域名 x 和域名 y 是同一个 CDN 的客户,可以将域名 x 放在 TLS 报头中,域名 y 放在 HTTP 报头中。 流量看起来会流向域名 x,但是 CDN 可能将其路由到域名 y。

缓解

如果可以检查 HTTPS 流量,则可以分析流量以查找显示为域前置的连接。 为了使用域前置,攻击者可能需要将额外的工具部署到受攻击的系统中。 可以使用基于主机的解决方案检测或阻止这些工具的安装。

检测

如果 SSL 检查适当或流量未加密,则可以检查 HTTP 报头的 Host 字段是否与 HTTPS SNI 匹配或与域名的黑名单或白名单匹配。