Saldırganlar, Google’ın temel hizmetlerini, Google Meet, YouTube, Chrome Update sunucularını ve daha fazlasını Domain Fronting adlı bir teknik kullanarak kullanmanın bir yolunu keşfettiler.
Kötü niyetli trafiğini yüksek güven alanlarına meşru bağlantılar olarak göstererek, rakipler şüphe yaratmadan Google’ın omurga altyapısı aracılığıyla verileri tünelleyebilir.
Bu araştırma, web konferans uygulamaları aracılığıyla önceki tünellerin gösterilerine dayanıyor ve aynı kavramın internetin dokusu için nasıl uygulandığını gösteriyor.
Etki alanı ön nasıl çalışır?
Domain Fronting, TLS el sıkışmasında duyurulan ana bilgisayar adı (sunucu adı göstergesi veya SNI aracılığıyla) ve şifrelenmiş HTTP ana bilgisayar başlığı içindeki ana bilgisayar adı arasındaki tutarsızlıktan yararlanır.
Bir istemci bağlandığında, SNI alanı, Meet.google.com gibi iyi huylu bir alanı gösterir, böylece ağ monitörleri buna güvenli davranır.
Bununla birlikte, şifrelenmiş oturumun içinde, ana bilgisayar başlığı Google Cloud platformunda barındırılan saldırgan kontrollü bir etki alanı belirtir.
Gözlemciler ana bilgisayar üstbilgisini göremezler, böylece ıraksama tespit edemezler. Sonuç, trafiğin normal Google kullanımı olarak görünmesi, ancak aslında düşmanın kontrolü altında bir implant veya komut ve kontrol sunucusuna yönlendirilmesidir.
Alan önü, Google, Amazon ve Microsoft dahil olmak üzere 2015 ve 2024 yılları arasında büyük sağlayıcılar tarafından büyük ölçüde engellendi.
Bu blokajlara rağmen, araştırmacılar Google’ın altyapısında ön planlama yeteneklerini geri yükleyen bir avantaj buldular.
Update.googleapis.com ve Payments.google.com gibi Google Cloud Run işlevlerine veya etki alanlarına istekleri yönlendirerek, saldırganlar meşru bir cepheyi korurken kötü amaçlı uç noktalara arka uçları tetikler.
Deneyler, bağlantı Google.com’u hedeflemesine rağmen, ana bilgisayar başlığı işlevin URL’sini işaret ettiğinde basit bir bulut çalıştırma “merhaba dünya” işlevinin çağrılabileceğini gösterdi.
Meet, YouTube ve diğer yüksek trafikli Google alanları için eşdeğer davranışlar gözlendi.
Kırmızı takımlar için, bu teknik güçlü bir gizli kanal sunar. Kuruluşların günlük operasyonları bozmadan engelleyemeyecekleri hizmetlerden yararlanır ve normal trafikle sorunsuz bir şekilde karışır.
Saldırganlar, Google’ın güncelleme sunucuları veya video hizmetleri aracılığıyla HTTPS üzerinden iletişim kuran implantları sahneleyerek ağ algılamasını son derece zorlaştırabilir.
Geleneksel ağ kontrolleri genellikle temel hizmetleri derin paket incelemesinden muaf tutar.
Etki alanının önündeki önleme yapmak için, güvenlik ekiplerinin TLS oturumlarını ölçeklendirmeleri, DNS ve sertifika verilerini ilişkilendirmeleri ve güncelleme.googleapis.com’un standart olmayan yüklerle kalıcı bağlantılar gibi olağandışı trafik modellerini tespit etmeleri için davranışsal analiz kullanmaları gerekir.
Bu keşif, saldırganlar ve savunucular arasında devam eden kedi ve fare oyununun altını çiziyor. Altyapı sınırları genişledikçe, düşmanlık fırsatları da açık bir şekilde gizlemek için.
Güvenlik mimarları, varsayılan izin verimlerini yeniden değerlendirmeli ve yüksek güvenilir alanların bile uygun inceleme almasını sağlamalıdır.
Tespit stratejilerini gelişmekte olan vektörlere uyarlayarak, kuruluşlar saldırganların bu kadar kolay bir şekilde yararlandığı güven boşluğunu kapatabilir.
Anında güncellemeler almak ve GBH’yi Google’da tercih edilen bir kaynak olarak ayarlamak için bizi Google News, LinkedIn ve X’te takip edin.