✍️ Статья Слепые зоны SSL

The 146X Project Dublikat Web Studio Avram Lincoln AL Service Navigator Knyaz

BlackPope

Команда форума
Модератор DeepWeb ✔️
PR-Group DeepWeb 🔷
Регистрация
27.04.2020
Сообщения
230
Поскольку большинство атак используют какой-либо тип шифрования, возможность регистрировать и проверять шифрованный контент имеет жизненно важное значение.

Введение

Современный ландшафт угроз требует комплексной стратегии глубокой защиты , которая часто включает перехват и проверку трафика внутри SSL. Поскольку большинство атак используют какой-либо тип шифрования, возможность регистрировать и проверять шифрованный контент имеет жизненно важное значение. В работе инспекции SSL есть исключения для целых категорий сайтов, которыми могут воспользоваться злоумышленники.

Из-за требований местных законов о конфиденциальности многие организации вносят в белый список определенные категории веб-сайтов (например финансы / банковское дело и здравоохранение), таким образом создавая проблемы для расследования потенциальных инцидентов из-за отсутствия подробной записи логов.

Злоумышленники могут воспользоваться данной лазейкой после взлома для установки более скрытых постоянных каналов C2. Журналы прокси-сервера не отображают полные URL-адреса, связанные с общими профилями C2, и проверка зашифрованного трафика на наличие угроз внутри SSL невозможна. Это создает возможность для передачи сомнительных бинарных файлов, увеличивая нагрузку на защиту конечных точек.

Как работает проверка SSL?

Проверка SSL полагается на прокси-сервер для динамической выдачи сертификатов доверенных веб-сайтов. Все эти сертификаты будут иметь одного и того же издателя и обычно действительны со дня выдачи. Поскольку прокси-сервер теперь имеет «SSL-доверие», установленное на обоих концах, теперь он может расшифровывать и проверять содержимое трафика.

Пример 1 - SSL-сертификат для сайта, не внесенного в белый список

8ScxVaBFMo4.jpg


Пример 2 - SSL-сертификат для сайта из белого списка

ijR5I7ZX-6M.jpg


Используем ProxyPunch

ProxyPunch помогает выявлению слепых зон SSL путем определения эмитента сертификата прокси-серверов. После создания этого эмитента любые веб-сайты, чей сертификат не был выдан этим органом, должны быть внесены в белый список или в белую категорию. ProxyPunch имеет встроенный список сайтов для различных категорий.

VjHGGV2vJdg.jpg


Прохождение

ProxyPunch определяет наличие исключения SSL для всех банковских / финансовых сайтов. В этом примере, как и в большинстве организаций, доступ к веб-сайтам электронной почты не разрешен.

juTQ6ZspHKg.jpg


Теперь нам требуется найти доменное имя, относящееся к категории "Банковское дело / Финансы". Для этого проще всего использовать веб-сайт Expiredomains для поиска связанных доменов с истекшим сроком действия. После регистрации на сайте ExpiredDomains можно воспользоваться расширенным фильтром для поиска подходящих доменов. В этом примере я искал сайты .info, содержащие слово Mortgage. Затем я отсортировал результаты поиска по столбцу BL (BackLinks), так как обнаружил, что сайты с обратными ссылками с большей вероятностью будут правильно классифицированы.

i8TRDT5tkIQ.jpg


Перед покупкой домена стоит проверить, правильно ли он отнесен к категории, поскольку на категорию влияет веб-контент, а не слова в имени домена. К счастью, есть ряд онлайн-инструментов, которые можно использовать для проверки категорий.

Mcafee

Cyren

Zvelo

BrightCloud

PaloAlto

Третий домен в списке, puremortgage.info, выглядит многообещающе:

FRWkxWpGIzg.jpg


Y0nmGLSnI6Q.jpg


Быстрая проверка Namecheap показывает, что домен доступен (и стоит недорого):

После покупки домена настраиваем веб-сервис с сертификатом Let’s Encrypt. Теперь можно проверить, что прокси-сервер занесен в белый список нашего домена, убедившись, что мы видим сертификат Let's Encrypt, а не корпоративный WWW-шлюз:

5Tzb6ECHDns.jpg


Таким образом теперь у нас есть сайт, находящийся в белом списке. Весь трафик, проходящий через прокси-сервер на данный сайт, проверяться не будет.

В качестве быстрого теста я использовал гибкий профиль C2, используя сертификат для www.puremortgage.info, чтобы увидеть, как регистрировался мой beacon трафик (трафик к центру управления, сигнализирующий о готовности выполнить команду):

Вот как выглядят журналы прокси для сайта из белого списка:

n4QL7LERaDk.jpg


По сравнению с сайтом, не внесенным в белый список:

Ptd6NzOtX9U.jpg


Стоит отметить, что пути попадания сайтов в белый список SSL Inspection не ограничиваются категоризацией. По своему опыту я видел, что определенные веб-сайты попали в белый список по ряду причин, например, с клиентским приложением, которое подключается через прокси, но для установления подлинности требует наличия определенного сертификата SSL. Также можно найти неверно настроенные исключения с подстановочными знаками, например приведенные ниже, которыми вы можете воспользоваться, используя совпадающие поддомены вашего домена:

windowsupdate.*
  • .microsoft. *
Эту тему я оставлю читателям для самостоятельного исследования….
 

📌 Золотая реклама

AnonPaste

Верх