Abo
  • Services:
Anzeige
Domain-Fronting erklärt
Domain-Fronting erklärt (Bild: Fireeye)

APT29: Staatshacker nutzen Tors Domain-Fronting

Domain-Fronting erklärt
Domain-Fronting erklärt (Bild: Fireeye)

Die staatliche Hackergruppe APT29 nutzt die von Tor entwickelte Meek-Technologie, um Angriffe auf verschiedene Infrastrukturen zu verschleiern. Domain-Fronting wird sonst meist zur Umgehung von Zensur eingesetzt.

Die Sicherheitsfirma Fireeye zeigt in einem aktuellen Bericht, dass die gemeinhin den russischen Nachrichtendiensten zugeordnete Hackergruppe mit dem Namen APT29 zur Verschleierung ihrer Aktivitäten das sogenannte Domain-Fronting nutzt. Beim Domain-Fronting werden Anfragen an Server so verschleiert, dass sie wie normale Nutzerzugriffe auf beliebte Dienste wie zum Beispiel Google aussehen.

Anzeige

APT29 ist auch unter dem Namen Cozy Bear bekannt, die Gruppe soll Verbindungen zum russischen Geheimdienst FSB haben. Die ebenfalls russische Gruppe APT28 hingegen wird mit dem Militärgeheimdienst GRU in Verbindung gebracht und meist als Fancy Bear oder Sofacy bezeichnet.

Tor hatte die Meek-Technologie vor allem entwickelt, um die Internetzensur in vielen Ländern zu umgehen. Im vergangenen Jahr hatten die Betreiber des Kryptomessengers Signal ebenfalls angefangen, die sogenannten "pluggable transports" zu nutzen, nachdem der Zugriff auf den Dienst in verschiedenen Ländern blockiert wurde.

Wird die Technologie genutzt, so wird die Adresse des Zielsystems in eine HTTP-Nachricht überführt und dann mit TLS verschlüsselt. Diese verschlüsselte Nachricht wird schließlich an einen Server im gleichen Content Delivery Network gesendet, der eine nicht zensierte Webseite hostet - in vielen Fälle ist dies Google. Dieser Server entschlüsselt die Nachricht und leitet sie an die eigentliche Webseite weiter, die dann die Antwort an den Client sendet.

APT29 erstellte eigenen Hidden-Service

Nach Angaben von Fireeye hat APT29 einen eigenen Tor-Hidden-Service erstellt, der Traffic eines Torclients auf den Ports 139 (NetBios), 445 (Server Message Blocks, SMB) und 3389 (Terminal Server, TS) weiterleitet. So konnte die Gruppe Rechner infizieren und Befehle verteilen, ohne dass diese in den Logdateien verdächtig waren. Offenbar nutzt APT29 die Technologie bereits seit mindestens zwei Jahren.

Auf dem infizierten Rechner werden von Cozy Bear zahlreiche Skripte installiert, die unter anderem Windows-Funktionen für Nutzer mit bestimmten Bedürfnissen, wie zum Beispiel die Binary der Einrastfunktion (Sticky Keys), durch eigene Software ersetzen, um den Angreifern dauerhaften Zugang und erweiterte Rechte ("privilege escalation") zu ermöglichen. Dabei wird die Binary für Sticky Keys (sethc.exe) durch cmd.exe ersetzt. Mehrmaliges Drücken einer bestimmten Taste ermögliche dann den Zugriff auf die Kommandozeile mit erweiterten Rechten, so die Sicherheitsfirma.

Fireeye verbindet die Berichterstattung über die Technologie mit einem Sales-Pitch. Es sei für Unternehmen sehr wichtig, Zugriff auf TLS-verschlüsselten Traffic zu bekommen, um entsprechende Angriffe entdecken zu können. Tatsächlich birgt der Einsatz von HTTPS-Man-In-Middle-Boxen allerdings zahlreiche Gefahren, auch das US-Cert hat entsprechende Hinweise für die Verwendung der Technologie herausgegeben.


eye home zur Startseite
DerSkeptiker 29. Mär 2017

Die Methode mit sethc.exe nutzte ich schon vor 10 Jahren als Scriptkiddie. ROFL! Das sind...



Anzeige

Stellenmarkt
  1. Robert Bosch GmbH, Stuttgart-Feuerbach
  2. ifb KG, Seehausen am Staffelsee
  3. Robert Bosch GmbH, Ludwigsburg
  4. Daimler AG, Germersheim


Anzeige
Top-Angebote
  1. 37,99€
  2. 505,00€ inkl. Gutscheincode PLUSBAY für Ebay-Plus-Mitglieder (Vergleichspreis ab 598,00€)
  3. 37,99€

Folgen Sie uns
       


  1. Infineon

    BSI zertifiziert unsichere Verschlüsselung

  2. R-PHY- und R-MACPHY

    Kabelnetzbetreiber müssen sich nicht mehr festlegen

  3. ePrivacy-Verordnung

    Ausschuss votiert für Tracking-Schutz und Verschlüsselung

  4. Lifetab X10605 und X10607

    LTE-Tablets direkt bei Medion bestellen

  5. Gran Turismo Sport im Test

    Puristischer Fahrspaß - fast nur für Onlineraser

  6. Breitbandausbau

    Oettinger bedauert Privatisierung der Telekom

  7. Elektroauto

    Tesla Model S brennt auf österreichischer Autobahn aus

  8. Ubuntu 17.10 im Test

    Unity ist tot, lange lebe Unity!

  9. Asus Rog GL503 und GL703

    Auf 15 und 17 Zoll für vergleichsweise wenig Geld spielen

  10. Swisscom

    Einsatz von NG.fast bringt bis zu 5 GBit/s



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Xperia Touch im Test: Sonys coolem Android-Projektor fehlt das Killerfeature
Xperia Touch im Test
Sonys coolem Android-Projektor fehlt das Killerfeature
  1. Roboter Sony lässt Aibo als Alexa-Konkurrenten wieder auferstehen
  2. Sony Xperia XZ1 Compact im Test Alternativlos für Freunde kleiner Smartphones
  3. Sony Xperia XZ1 und XZ1 Compact sind erhältlich

Arktika 1 im Test: Monster-verseuchte Eiszeitschönheit
Arktika 1 im Test
Monster-verseuchte Eiszeitschönheit
  1. TPCast Oculus Rift erhält Funkmodul
  2. Oculus Go Alleine lauffähiges VR-Headset für 200 US-Dollar vorgestellt
  3. Virtual Reality Update bindet Steam-Rift in Oculus Home ein

ZFS ausprobiert: Ein Dateisystem fürs Rechenzentrum im privaten Einsatz
ZFS ausprobiert
Ein Dateisystem fürs Rechenzentrum im privaten Einsatz
  1. Librem 5 Purism zeigt Funktionsprototyp für freies Linux-Smartphone
  2. Pipewire Fedora bekommt neues Multimedia-Framework
  3. Linux-Desktops Gnome 3.26 räumt die Systemeinstellungen auf

  1. Re: Grundrecht auf 50/10 Mbit "Garantieren"

    tha_specializt | 17:04

  2. Re: Fahrzeug brannte vollständig aus

    Dwalinn | 17:00

  3. Re: Sehr Kompakte Beschreibung

    M.P. | 16:56

  4. Re: Und ich kriege noch nicht einmal die...

    Dwalinn | 16:52

  5. Re: Ist das relevant? Wir haben jedes Jahr 15000...

    lemmer | 16:52


  1. 17:05

  2. 15:42

  3. 15:27

  4. 15:12

  5. 15:00

  6. 13:49

  7. 12:25

  8. 12:00


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel