![[personal profile]](https://www.dreamwidth.org/img/silk/identity/user.png){kind=small}
Очень красивая атака
Aug. 15th, 2020 11:25 amДля того, чтобы данные не утекали, в корпорациях внедряют всяко-разные системы. Сейчас на коне протокол TLS, поэтому часто эти системы работают в режиме атаки MITM и расшифровывают трафик. А в ипостаси firewall-а ещё и не пускают в странные места.
В протоколе TLS довольно давно сделали способ сказать, какой из хостов на одном IP-адресе нас интересует. Это называется SNI, передаётся открытым текстом. И поэтому троян идёт на управляющий домен, firewall глядит в SNI, блокирует, все довольны.
Делай раз: троян начинает слать в SNI левое имя. Командный центр умеет его преобразовывать в настоящее и шлёт сертификат.
Делай два: firewall начинает блокировать соединение при несовпадении имени в сертификате и в SNI. Но пакет до контрольного центра всё равно дойдёт.
Делай три: в SNI можно передать какую-то информацию. А так как firewall выдаст запрет, содержащий часть данных из сертификата, то таким образом можно управлять трояном снаружи.
Подробное описание атаки SNIcat
В протоколе TLS довольно давно сделали способ сказать, какой из хостов на одном IP-адресе нас интересует. Это называется SNI, передаётся открытым текстом. И поэтому троян идёт на управляющий домен, firewall глядит в SNI, блокирует, все довольны.
Делай раз: троян начинает слать в SNI левое имя. Командный центр умеет его преобразовывать в настоящее и шлёт сертификат.
Делай два: firewall начинает блокировать соединение при несовпадении имени в сертификате и в SNI. Но пакет до контрольного центра всё равно дойдёт.
Делай три: в SNI можно передать какую-то информацию. А так как firewall выдаст запрет, содержащий часть данных из сертификата, то таким образом можно управлять трояном снаружи.
Подробное описание атаки SNIcat
