Техники: T1090 , T1090.001 , T1090.002 , T1090.003 , T1090.004
Злоумышленники могут воспользоваться схемами маршрутизации в сетях доставки контента (CDN) и других сервисах, в которых размещено несколько доменов, чтобы скрыть целевое назначение HTTPS-трафика или трафика, туннелируемого через HTTPS. (Цит. по: Fifield Blocking Resistent Communication through domain fronting 2015) Фронтирование доменов подразумевает использование разных доменных имен в поле SNI заголовка TLS и поле Host заголовка HTTP. Если оба домена обслуживаются с одной CDN, то после разворачивания заголовка TLS CDN может направить на адрес, указанный в заголовке HTTP. Разновидность этой техники, "бездоменная" фронтировка, использует поле SNI, которое остается пустым; это может позволить фронтировке работать даже тогда, когда CDN пытается проверить совпадение полей SNI и HTTP Host (если пустые поля SNI игнорируются).
Например, если domain-x и domain-y являются клиентами одной CDN, можно поместить domain-x в TLS-заголовок, а domain-y - в HTTP-заголовок.Будет казаться, что трафик идет к домену-x, однако CDN может направить его к домену-y.
https://attack.mitre.org/techniques/T1090/004
Визуализация смежных техник для T1090.004
| № | Техника |
|---|
