도메인 프론팅 이해

이 기사에서는 Cato가 DNS, TLS 및 HTTP 검사 단계를 통해 실제 호스트명을 지속적으로 재평가하여 도메인 프론팅을 자동으로 차단하는 방법을 설명합니다. 이를 통해 위장된 Command-and-Control(CnC) 트래픽을 즉시 감지하고 차단할 수 있습니다.

개요

도메인 프론팅은 위협 행위자가 악성 트래픽을 정당한 통신으로 위장하기 위해 사용하는 기술입니다. 이 기술은 HTTPS와 콘텐츠 전송 네트워크(CDN)가 도메인 이름을 처리하는 방식을 악용합니다. 표준 HTTPS 연결 중, 두 개의 도메인 식별자가 다른 단계에서 노출됩니다:

  • SNI (서버 이름 표시): TLS 핸드셰이크 중 평문으로 전송되어, 클라이언트가 연결하려는 의도된 호스트명을 나타냄
  • Host 헤더: 암호화된 HTTP 요청 내에서 나중에 전송되어 실제 액세스하는 도메인을 명시합니다

도메인 프론팅을 통해 공격자들은 이 두 필드를 고의로 불일치시킵니다. 예를 들어, SNI에서는 양성 도메인(example.com)을 사용하고 Host 헤더에서는 악성 도메인(malicious-cnc.com)을 사용합니다. 이렇게 하면 CnC 트래픽이 정당한 서비스로 향하는 것처럼 보이게 되며, 종종 주요 클라우드 또는 CDN 공급업체 뒤에 숨겨져 있습니다.

Cato가 도메인 프론팅을 차단하는 방법

특별한 규칙이나 업데이트가 필요한 다른 솔루션과 달리, Cato의 아키텍처는 본래 도메인 프론팅 시도를 감지하고 차단합니다. 이는 더 많은 정보가 제공됨에 따라 흐름의 실제 신원 을 지속적으로 재평가함으로써 이루어집니다(더 많은 정보는 Cato SPACE Architecture에서 패킷 흐름 이해하기를 참조하세요. 동적 재평가 프로세스를 설명합니다).

통합 호스트명 평가

Cato는 통합 호스트명 이라는 개념을 사용하며, 이는 흐름의 실제 목적지를 나타내는 동적으로 업데이트되는 식별자입니다. 이 식별자는 각 검사 단계에서 정제됩니다:

  1. DNS 해상도 단계에서 Cato는 목적지 IP에 연결된 도메인(DNAME)을 식별합니다
  2. TLS 핸드셰이크 동안, Cato는 클라이언트가 접속하려는 호스트명을 나타내는 서버 이름 표시(SNI)를 관찰합니다
  3. TLS 검사 후, 암호화된 트래픽이 해독되면 Cato는 HTTP Host 헤더를 확인하여 실제 액세스하는 도메인을 노출할 수 있습니다

Cato는 이러한 단계 각각에서 통합 호스트명을 재평가합니다. Host 헤더 도메인이 원래의 SNI와 충돌하거나 다르면, Cato는 이를 새로운 정보로 처리하고 방화벽(FW) 및 침입 방지 시스템(IPS) 엔진에서 재평가를 트리거합니다.

이는 두 제품이 새로운 호스트명 맥락으로 효과적으로 다시 적용된다는 것을 의미합니다. 새롭게 드러난 호스트가 악성(즉, 방화벽에 의해 차단되거나 차단 IPS 서명에 포함된 경우)일 경우, Cato는 원래 SNI와 목적지 IP가 양성으로 보일지라도 즉시 차단합니다.

이 계층화된 검사는 신뢰할 수 있는 도메인 뒤에 숨으려는 CnC 채널이 진정한 목적지가 드러나자마자 차단되도록 합니다.

도메인 프론팅 보호 테스트

Cato의 도메인 프론팅 보호를 검증하려면, 감지 과정을 직접 재현해 볼 수 있습니다:

  1. 방화벽 규칙 생성: 익명화기를 차단하도록 방화벽 규칙이 구성되어 있는지 확인합니다(또는 이미 구성되어 있지 않다면 생성합니다).

  2. 테스트 요청 보내기: 다음 curl 명령을 실행합니다:

    curl -v https://example.com -H '호스트: expressvpn.com'

    이 명령은 방화벽에 의해 차단됩니다

  3. 차단 확인: CMA에서 방화벽 규칙 히트 하의 이벤트 페이지를 확인하여 차단을 확인합니다. 이벤트 속성에서는 목적지 IP 필드가 examplee.com IP 주소이고, 도메인 이름 필드는 마지막으로 HTTP Host 헤더에 나타난 expressvpn.com 도메인으로 업데이트됩니다.

선택 사항: Wireshark에서 트래픽을 캡처하여(평문으로 전송된 경우) Host 헤더를 시각화하고 차단 이벤트를 확인할 수도 있습니다.

구성을 적용한 후 다음 명령어를 실행하여 행동을 확인할 수 있습니다:
curl -v https://chatgpt.com -H '호스트: echo.free.beeceptor.com'

이 단계들은 Cato가 사후 검사 재평가 프로세스를 통해 도메인 프론팅 시도를 어떻게 무력화하는지 관찰할 수 있는 투명한 방법을 제공합니다.

예시 캡처

아래는 테스트에서 DNS와 HTTP 흐름을 보여주는 Wireshark 캡처 예시입니다:

Domain_Forwarding1.png

이는 examplee.com으로의 DNS 쿼리 후 Host 헤더가 expressvpn.com을 가리키는 HTTP 요청을 보여줍니다. HTTP 응답이 403 금지됨을 반환하여 Cato가 도메인 프론팅 요청을 성공적으로 차단했음을 확인합니다.

도메인 프론팅은 정당한 도메인 뒤에 악성 통신을 숨기기 위해 사용되는 기술입니다. 일부 솔루션은 정당한 도메인 뒤에 숨겨진 트래픽을 식별하기 어려워하지만, Cato의 아키텍처는 통합 호스트명 재평가와 이중 엔진 재검증을 통해 본래 이러한 시도를 차단합니다. SNI, Host 헤더 및 IP 정보를 검사 단계마다 지속적으로 업데이트하여 Cato는 신뢰할 수 있는 도메인 뒤에 가장하는 CnC 채널이 절대로 통과할 수 없도록 보장합니다.

도움이 되었습니까?

0명 중 0명이 도움이 되었다고 했습니다.

댓글 0개