E安全2月17日讯 研究人员们指出,网络威胁行为者正在积极寻找隐蔽通道以窃取来自防火墙网络的数据——其具体举措很可能包括利用X.509证书以悄然完成数据的隐藏与渗漏。
X.509目前众多公钥证书格式之一。这些证书被用于建立支持加密HTTPS流量所必需的TLS/SSL连接。
不过2017年由Fidelis Cybersecurity公司的杰森·里夫斯(Jason Reaves)进行的研究表明,攻击者完全能够滥用这些HTTPS协商过程中的良性因素来隐藏某些微小的信息。
攻击者能够在X.509元字段中暗藏数据
之所以能够实现,是因为某些X.509证书字段允许攻击者向其中添加某些小型二进制数据块。
里夫斯表示,“这些字段包括版本、序列号、颁发者名称、有效期限等信息。在我们的研究当中,发现证书滥用活动正是利用这些字段暗藏数据并进行传输。”
里夫斯补充称,“由于证书交换会发生在TLS会话开始之前,尽管看似不存在数据传输,但实际上数据已经随着证书本体的交换而完成了传递。”也正因为如此,防火墙甚至是HTTPS MitM都无法检测到这种技术活动。
在GitHub上提供PoC代码
截至目前,网络威胁行为者已经滥用了各种其它类型的数据渗漏通道,具体包括ICMP、DNS以及隐写图像等等。里夫斯指出,他还没有在现实世界中发现任何利用X.509进行数据渗漏的证据,但这也可能是因为此类活动很难被检测出来。
X.509被用作隐蔽数据通道已经不是什么新鲜事。早在2008年,研究人员们就提出了相关设想。里夫斯的工作在于对这一设想加以扩展,从而为攻击活动提供新的实现机制。
里夫斯已经在GitHub上发布了PoC代码,这是一套用于通过X.509证书元数据字段进行文件传输的Go框架。
里夫斯公布的X.509研究结果可用于面向目标系统进行文件传入与传出。感兴趣的朋友可参阅里夫斯发布的《滥用X.509扩展以建立隐蔽传输通道》的研究论文(英文原文)。
PoC:https://github.com/fideliscyber/x509
论文:http://vixra.org/pdf/1801.0016v1.pdf
注:本文由E安全编译报道,转载请注明原文地址
https://www.easyaq.com/news/1176512424.shtml
领取专属 10元无门槛券
私享最新 技术干货