Слепые зоны SSL

Слепые зоны SSL

Поскольку большинство атак используют какой-либо тип шифрования, возможность регистрировать и проверять шифрованный контент имеет жизненно важное значение.

image

Автор: RythmStick

Введение

Современный ландшафт угроз требует комплексной стратегии глубокой защиты , которая часто включает перехват и проверку трафика внутри SSL. Поскольку большинство атак используют какой-либо тип шифрования, возможность регистрировать и проверять шифрованный контент имеет жизненно важное значение. В работе инспекции SSL есть исключения для целых категорий сайтов, которыми могут воспользоваться злоумышленники.

Из-за требований местных законов о конфиденциальности многие организации вносят в белый список определенные категории веб-сайтов (например финансы / банковское дело и здравоохранение), таким образом создавая проблемы для расследования потенциальных инцидентов из-за отсутствия подробной записи логов.

Злоумышленники могут воспользоваться данной лазейкой после взлома для установки более скрытых постоянных каналов C2. Журналы прокси-сервера не отображают полные URL-адреса, связанные с общими профилями C2, и проверка зашифрованного трафика на наличие угроз внутри SSL невозможна. Это создает возможность для передачи сомнительных бинарных файлов, увеличивая нагрузку на защиту конечных точек.

Как работает проверка SSL?

Проверка SSL полагается на прокси-сервер для динамической выдачи сертификатов доверенных веб-сайтов. Все эти сертификаты будут иметь одного и того же издателя и обычно действительны со дня выдачи. Поскольку прокси-сервер теперь имеет «SSL-доверие», установленное на обоих концах, теперь он может расшифровывать и проверять содержимое трафика.

Пример 1 - SSL-сертификат для сайта, не внесенного в белый список

screenshot

Пример 2 - SSL-сертификат для сайта из белого списка

screenshot

Используем ProxyPunch

ProxyPunch помогает выявлению слепых зон SSL путем определения эмитента сертификата прокси-серверов. После создания этого эмитента любые веб-сайты, чей сертификат не был выдан этим органом, должны быть внесены в белый список или в белую категорию. ProxyPunch имеет встроенный список сайтов для различных категорий.

screenshot

Прохождение

ProxyPunch определяет наличие исключения SSL для всех банковских / финансовых сайтов. В этом примере, как и в большинстве организаций, доступ к веб-сайтам электронной почты не разрешен.

screenshot

Теперь нам требуется найти доменное имя, относящееся к категории "Банковское дело / Финансы". Для этого проще всего использовать веб-сайт Expiredomains для поиска связанных доменов с истекшим сроком действия. После регистрации на сайте ExpiredDomains можно воспользоваться расширенным фильтром для поиска подходящих доменов. В этом примере я искал сайты .info, содержащие слово Mortgage. Затем я отсортировал результаты поиска по столбцу BL (BackLinks), так как обнаружил, что сайты с обратными ссылками с большей вероятностью будут правильно классифицированы.

screenshot

Перед покупкой домена стоит проверить, правильно ли он отнесен к категории, поскольку на категорию влияет веб-контент, а не слова в имени домена. К счастью, есть ряд онлайн-инструментов, которые можно использовать для проверки категорий.

Mcafee

Cyren

Zvelo

BrightCloud

PaloAlto

Третий домен в списке, puremortgage.info, выглядит многообещающе:

screenshot

screenshot

Быстрая проверка Namecheap показывает, что домен доступен (и стоит недорого):

screenshot

После покупки домена настраиваем веб-сервис с сертификатом Let’s Encrypt. Теперь можно проверить, что прокси-сервер занесен в белый список нашего домена, убедившись, что мы видим сертификат Let's Encrypt, а не корпоративный WWW-шлюз:

screenshot

Таким образом теперь у нас есть сайт, находящийся в белом списке. Весь трафик, проходящий через прокси-сервер на данный сайт, проверяться не будет.

В качестве быстрого теста я использовал гибкий профиль C2, используя сертификат для www.puremortgage.info, чтобы увидеть, как регистрировался мой beacon трафик (трафик к центру управления, сигнализирующий о готовности выполнить команду):

Вот как выглядят журналы прокси для сайта из белого списка:

screenshot

По сравнению с сайтом, не внесенным в белый список:

screenshot

Стоит отметить, что пути попадания сайтов в белый список SSL Inspection не ограничиваются категоризацией. По своему опыту я видел, что определенные веб-сайты попали в белый список по ряду причин, например, с клиентским приложением, которое подключается через прокси, но для установления подлинности требует наличия определенного сертификата SSL. Также можно найти неверно настроенные исключения с подстановочными знаками, например приведенные ниже, которыми вы можете воспользоваться, используя совпадающие поддомены вашего домена:

windowsupdate.*

* .microsoft. *

Эту тему я оставлю читателям для самостоятельного исследования….

ProxyPunch Repo можно скачать здесь

Подписывайтесь на каналы "SecurityLab" в TelegramTelegram и Яндекс.ДзенЯндекс.Дзен, чтобы первыми узнавать о новостях и эксклюзивных материалах по информационной безопасности.