Abo
  • Services:
Anzeige
Domain-Fronting erklärt
Domain-Fronting erklärt (Bild: Fireeye)

APT29: Staatshacker nutzen Tors Domain-Fronting

Domain-Fronting erklärt
Domain-Fronting erklärt (Bild: Fireeye)

Die staatliche Hackergruppe APT29 nutzt die von Tor entwickelte Meek-Technologie, um Angriffe auf verschiedene Infrastrukturen zu verschleiern. Domain-Fronting wird sonst meist zur Umgehung von Zensur eingesetzt.

Die Sicherheitsfirma Fireeye zeigt in einem aktuellen Bericht, dass die gemeinhin den russischen Nachrichtendiensten zugeordnete Hackergruppe mit dem Namen APT29 zur Verschleierung ihrer Aktivitäten das sogenannte Domain-Fronting nutzt. Beim Domain-Fronting werden Anfragen an Server so verschleiert, dass sie wie normale Nutzerzugriffe auf beliebte Dienste wie zum Beispiel Google aussehen.

Anzeige

APT29 ist auch unter dem Namen Cozy Bear bekannt, die Gruppe soll Verbindungen zum russischen Geheimdienst FSB haben. Die ebenfalls russische Gruppe APT28 hingegen wird mit dem Militärgeheimdienst GRU in Verbindung gebracht und meist als Fancy Bear oder Sofacy bezeichnet.

Tor hatte die Meek-Technologie vor allem entwickelt, um die Internetzensur in vielen Ländern zu umgehen. Im vergangenen Jahr hatten die Betreiber des Kryptomessengers Signal ebenfalls angefangen, die sogenannten "pluggable transports" zu nutzen, nachdem der Zugriff auf den Dienst in verschiedenen Ländern blockiert wurde.

Wird die Technologie genutzt, so wird die Adresse des Zielsystems in eine HTTP-Nachricht überführt und dann mit TLS verschlüsselt. Diese verschlüsselte Nachricht wird schließlich an einen Server im gleichen Content Delivery Network gesendet, der eine nicht zensierte Webseite hostet - in vielen Fälle ist dies Google. Dieser Server entschlüsselt die Nachricht und leitet sie an die eigentliche Webseite weiter, die dann die Antwort an den Client sendet.

APT29 erstellte eigenen Hidden-Service

Nach Angaben von Fireeye hat APT29 einen eigenen Tor-Hidden-Service erstellt, der Traffic eines Torclients auf den Ports 139 (NetBios), 445 (Server Message Blocks, SMB) und 3389 (Terminal Server, TS) weiterleitet. So konnte die Gruppe Rechner infizieren und Befehle verteilen, ohne dass diese in den Logdateien verdächtig waren. Offenbar nutzt APT29 die Technologie bereits seit mindestens zwei Jahren.

Auf dem infizierten Rechner werden von Cozy Bear zahlreiche Skripte installiert, die unter anderem Windows-Funktionen für Nutzer mit bestimmten Bedürfnissen, wie zum Beispiel die Binary der Einrastfunktion (Sticky Keys), durch eigene Software ersetzen, um den Angreifern dauerhaften Zugang und erweiterte Rechte ("privilege escalation") zu ermöglichen. Dabei wird die Binary für Sticky Keys (sethc.exe) durch cmd.exe ersetzt. Mehrmaliges Drücken einer bestimmten Taste ermögliche dann den Zugriff auf die Kommandozeile mit erweiterten Rechten, so die Sicherheitsfirma.

Fireeye verbindet die Berichterstattung über die Technologie mit einem Sales-Pitch. Es sei für Unternehmen sehr wichtig, Zugriff auf TLS-verschlüsselten Traffic zu bekommen, um entsprechende Angriffe entdecken zu können. Tatsächlich birgt der Einsatz von HTTPS-Man-In-Middle-Boxen allerdings zahlreiche Gefahren, auch das US-Cert hat entsprechende Hinweise für die Verwendung der Technologie herausgegeben.


eye home zur Startseite
DerSkeptiker 29. Mär 2017

Die Methode mit sethc.exe nutzte ich schon vor 10 Jahren als Scriptkiddie. ROFL! Das sind...

Themenstart

Kommentieren



Anzeige

Stellenmarkt
  1. domainfactory GmbH, Ismaning
  2. BG-Phoenics GmbH, München
  3. RA Consulting GmbH, Bruchsal
  4. T-Systems International GmbH, Berlin, Bonn


Anzeige
Hardware-Angebote
  1. 39,99€
  2. (reduzierte Überstände, Restposten & Co.)

Folgen Sie uns
       


  1. Privacy Phone

    John McAfee stellt fragwürdiges Smartphone vor

  2. Hacon

    Siemens übernimmt Software-Anbieter aus Hannover

  3. Quartalszahlen

    Intel bestätigt Skylake-Xeons für Sommer 2017

  4. Sony

    20 Millionen Playstation im Geschäftsjahr verkauft

  5. Razer Lancehead

    Symmetrische 16.000-dpi-Maus läuft ohne Cloud-Zwang

  6. TV

    SD-Abschaltung kommt auch bei Satellitenfernsehen

  7. ZBook G4

    HP stellt Grafiker-Workstations für unterwegs vor

  8. Messenger Lite

    Facebook bringt abgespeckte Messenger-App nach Deutschland

  9. Intel

    Edison-Module und Arduino-Board werden eingestellt

  10. Linux-Distribution

    Debian 9 verzichtet auf Secure-Boot-Unterstützung



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Mario Kart 8 Deluxe im Test: Ehrenrunde mit Ballon-Knaller, HD Rumble und Super-Turbo
Mario Kart 8 Deluxe im Test
Ehrenrunde mit Ballon-Knaller, HD Rumble und Super-Turbo
  1. Hybridkonsole Nintendo verkauft im ersten Monat 2,74 Millionen Switch
  2. Nintendo Switch Verkaufszahlen in den USA nahe der Millionengrenze
  3. Nintendo Von Mario-Minecraft bis zu gelben dicken Joy-Cons

Bonaverde: Von einem, den das Kaffeerösten das Fürchten lehrte
Bonaverde
Von einem, den das Kaffeerösten das Fürchten lehrte
  1. Google Alphabet macht weit über 5 Milliarden Dollar Gewinn
  2. Insolvenz Weniger Mitarbeiter und teure Supportverträge bei Protonet
  3. Jungunternehmer Über 3.000 deutsche Startups gingen 2016 pleite

Noonee: Exoskelett ermöglicht Sitzen ohne Stuhl
Noonee
Exoskelett ermöglicht Sitzen ohne Stuhl

  1. Re: Diese Analyse ist ein peinlicher Tiefpunkt

    ve2000 | 03:51

  2. Re: Nach Abschaltung kostenfrei?

    ve2000 | 03:31

  3. Re: Freizeit

    Vaako | 03:18

  4. Re: Und wird es Windows7-Treiber geben?

    JouMxyzptlk | 03:13

  5. Re: Hardwareschalter sind prinzipiell was gutes

    Thiesi | 03:06


  1. 18:05

  2. 17:30

  3. 17:08

  4. 16:51

  5. 16:31

  6. 16:10

  7. 16:00

  8. 15:26


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel