Поскольку большинство атак используют какой-либо тип шифрования, возможность регистрировать и проверять шифрованный контент имеет жизненно важное значение.
Автор: RythmStick
Современный ландшафт угроз требует комплексной стратегии глубокой защиты , которая часто включает перехват и проверку трафика внутри SSL. Поскольку большинство атак используют какой-либо тип шифрования, возможность регистрировать и проверять шифрованный контент имеет жизненно важное значение. В работе инспекции SSL есть исключения для целых категорий сайтов, которыми могут воспользоваться злоумышленники.
Из-за требований местных законов о конфиденциальности многие организации вносят в белый список определенные категории веб-сайтов (например финансы / банковское дело и здравоохранение), таким образом создавая проблемы для расследования потенциальных инцидентов из-за отсутствия подробной записи логов.
Злоумышленники могут воспользоваться данной лазейкой после взлома для установки более скрытых постоянных каналов C2. Журналы прокси-сервера не отображают полные URL-адреса, связанные с общими профилями C2, и проверка зашифрованного трафика на наличие угроз внутри SSL невозможна. Это создает возможность для передачи сомнительных бинарных файлов, увеличивая нагрузку на защиту конечных точек.
Проверка SSL полагается на прокси-сервер для динамической выдачи сертификатов доверенных веб-сайтов. Все эти сертификаты будут иметь одного и того же издателя и обычно действительны со дня выдачи. Поскольку прокси-сервер теперь имеет «SSL-доверие», установленное на обоих концах, теперь он может расшифровывать и проверять содержимое трафика.
Пример 1 - SSL-сертификат для сайта, не внесенного в белый список
Пример 2 - SSL-сертификат для сайта из белого списка
ProxyPunch помогает выявлению слепых зон SSL путем определения эмитента сертификата прокси-серверов. После создания этого эмитента любые веб-сайты, чей сертификат не был выдан этим органом, должны быть внесены в белый список или в белую категорию. ProxyPunch имеет встроенный список сайтов для различных категорий.
ProxyPunch определяет наличие исключения SSL для всех банковских / финансовых сайтов. В этом примере, как и в большинстве организаций, доступ к веб-сайтам электронной почты не разрешен.
Теперь нам требуется найти доменное имя, относящееся к категории "Банковское дело / Финансы". Для этого проще всего использовать веб-сайт Expiredomains для поиска связанных доменов с истекшим сроком действия. После регистрации на сайте ExpiredDomains можно воспользоваться расширенным фильтром для поиска подходящих доменов. В этом примере я искал сайты .info, содержащие слово Mortgage. Затем я отсортировал результаты поиска по столбцу BL (BackLinks), так как обнаружил, что сайты с обратными ссылками с большей вероятностью будут правильно классифицированы.
Перед покупкой домена стоит проверить, правильно ли он отнесен к категории, поскольку на категорию влияет веб-контент, а не слова в имени домена. К счастью, есть ряд онлайн-инструментов, которые можно использовать для проверки категорий.
Третий домен в списке, puremortgage.info, выглядит многообещающе:
Быстрая проверка Namecheap показывает, что домен доступен (и стоит недорого):
После покупки домена настраиваем веб-сервис с сертификатом Let’s Encrypt. Теперь можно проверить, что прокси-сервер занесен в белый список нашего домена, убедившись, что мы видим сертификат Let's Encrypt, а не корпоративный WWW-шлюз:
Таким образом теперь у нас есть сайт, находящийся в белом списке. Весь трафик, проходящий через прокси-сервер на данный сайт, проверяться не будет.
В качестве быстрого теста я использовал гибкий профиль C2, используя сертификат для www.puremortgage.info, чтобы увидеть, как регистрировался мой beacon трафик (трафик к центру управления, сигнализирующий о готовности выполнить команду):
Вот как выглядят журналы прокси для сайта из белого списка:
По сравнению с сайтом, не внесенным в белый список:
Стоит отметить, что пути попадания сайтов в белый список SSL Inspection не ограничиваются категоризацией. По своему опыту я видел, что определенные веб-сайты попали в белый список по ряду причин, например, с клиентским приложением, которое подключается через прокси, но для установления подлинности требует наличия определенного сертификата SSL. Также можно найти неверно настроенные исключения с подстановочными знаками, например приведенные ниже, которыми вы можете воспользоваться, используя совпадающие поддомены вашего домена:
windowsupdate.*
* .microsoft. *
Эту тему я оставлю читателям для самостоятельного исследования….
ProxyPunch Repo можно скачать здесь