Este artículo explica cómo Cato bloquea automáticamente el encubrimiento de dominio al reevaluar continuamente el nombre de host verdadero en las etapas de inspección de DNS, TLS y HTTP. Esto asegura que el tráfico de Comando-y-Control (CnC) disfrazado sea detectado y bloqueado inmediatamente.
El encubrimiento de dominio es una técnica utilizada por los actores de amenazas para disfrazar el tráfico malicioso como comunicación legítima. Exploita cómo HTTPS y las Redes de Entrega de Contenido (CDNs) procesan los nombres de dominio. Durante una conexión HTTPS estándar, dos identificadores de dominio son visibles en diferentes etapas:
- SNI (Indicación del Nombre del Servidor): Enviado en texto plano durante el apretón de manos TLS, indicando el nombre de host al que el cliente intenta conectarse
- Cabecera Host: Enviada más tarde dentro de la solicitud HTTP cifrada, especificando el dominio real al que se accede
Con el encubrimiento de dominio, los atacantes mismatchean deliberadamente estos dos campos, por ejemplo, usando un dominio benigno en el SNI (p. ej., example.com) y uno malicioso en la cabecera Host (p. ej., malicious-cnc.com). Esto permite que el tráfico de Comando-y-Control (CnC) parezca como si estuviera destinado a un servicio legítimo, a menudo oculto detrás de proveedores de nube o CDNs importantes.
A diferencia de otras soluciones que requieren reglas especiales o actualizaciones para manejar el encubrimiento de dominio, la arquitectura de Cato detecta y bloquea inherentemente los intentos de encubrimiento de dominio. Hace esto reevaluando continuamente la verdadera identidad de un flujo a medida que más información está disponible (para más información, vea Comprendiendo el Flujo de Paquetes con la Arquitectura Cato SPACE, que explica este proceso de reevaluación dinámica).
Cato utiliza un concepto llamado nombre de host unificado, un identificador actualizado dinámicamente que representa el verdadero destino de un flujo. Este identificador se refina en cada etapa de inspección:
- Durante la fase de resolución DNS, Cato identifica el DNAME, el dominio asociado con la dirección IP de destino
- Durante el apretón de manos TLS, Cato observa la Indicación del Nombre del Servidor (SNI), que muestra el nombre de host al que el cliente intenta llegar
- Después de la inspección TLS, una vez que el tráfico cifrado es descifrado, Cato puede ver la cabecera HTTP Host, revelando el dominio real al que se accede
Cato reevaluá el nombre de host unificado en cada una de estas etapas. Si el dominio de la cabecera Host entra en conflicto o difiere del SNI original, Cato lo trata como nueva inteligencia y desencadena una reevaluación en ambos motores del Firewall (FW) y del Sistema de Prevención de Intrusiones (IPS).
Esto significa que ambos productos se vuelven a aplicar efectivamente con el nuevo contexto de nombre de host. Si el host recientemente revelado es malicioso (es decir, configurado para ser bloqueado por el Firewall o incluido en una firma de bloqueo de IPS), Cato lo bloquea inmediatamente, incluso si el SNI original y la dirección IP de destino parecían benignos.
Esta inspección en capas asegura que los canales de CnC que intentan esconderse detrás de dominios de confianza sean bloqueados tan pronto como el verdadero destino sea expuesto.
Para validar la protección de Cato contra el encubrimiento de dominio, puedes reproducir tú mismo el proceso de detección:
- Crear una Regla de Firewall: Asegúrate de tener configurada una regla de Firewall para bloquear anonimizadores (o crea una si no está presente).
-
Enviar una Solicitud de Prueba: Ejecuta el siguiente comando curl:
curl -v https://example.com -H 'Host: expressvpn.com'El comando es bloqueado por el Firewall
-
Verificar el Bloqueo: En el CMA, revisa la página de Eventos bajo los impactos de reglas de Firewall para confirmar el bloqueo. En los atributos del evento, el campo IP de Destino es la dirección IP de example.com, mientras que el campo Nombre de Dominio se actualiza con el dominio que apareció por última vez en la cabecera HTTP Host: expressvpn.com.
Opcional: También puedes capturar el tráfico en Wireshark (si se envía en texto plano en lugar de HTTPS) para visualizar la cabecera Host y confirmar el evento de bloqueo.
Después de aplicar la configuración, puede verificar el comportamiento ejecutando el siguiente comando:curl -v https://chatgpt.com -H 'Host: echo.free.beeceptor.com'
Estos pasos proporcionan una forma transparente de observar cómo Cato neutraliza los intentos de encubrimiento de dominio a través de su proceso de reevaluación post-inspección.
A continuación se muestra un ejemplo de captura en Wireshark mostrando los flujos DNS y HTTP de la prueba:
Muestra una consulta DNS a example.com, seguida de una solicitud HTTP donde la cabecera Host apunta a expressvpn.com. La respuesta HTTP devuelve 403 Prohibido, confirmando que Cato bloqueó exitosamente la solicitud con encubrimiento de dominio.
El encubrimiento de dominio es una técnica utilizada para ocultar comunicación maliciosa detrás de dominios legítimos. Mientras que algunas soluciones tienen dificultades para identificar el tráfico que se oculta detrás de dominios legítimos, la arquitectura de Cato, con reevaluación unificada de nombre de host y revalidación de doble motor, bloquea inherentemente estos intentos. Al actualizar continuamente la SNI, la cabecera Host y la información de IP a través de las etapas de inspección, Cato asegura que los canales de CnC que se enmascaran detrás de dominios de confianza nunca logren pasar.
0 comentarios
El artículo está cerrado para comentarios.