Este artigo explica como a Cato bloqueia automaticamente o encaminhamento de domínio reavaliando continuamente o verdadeiro nome do host nas etapas de inspeção DNS, TLS e HTTP. Isso garante que o tráfego disfarçado de Comando e Controle (CnC) seja imediatamente detectado e bloqueado.
O encaminhamento de domínio é uma técnica usada por agentes de ameaça para disfarçar tráfego malicioso como comunicação legítima. Explora como HTTPS e Redes de Distribuição de Conteúdo (CDNs) processam nomes de domínio. Durante uma conexão HTTPS padrão, dois identificadores de domínio são visíveis em estágios diferentes:
- SNI (Indicação do Nome do Servidor): Enviado em texto simples durante o handshake TLS, indicando o nome do host ao qual o cliente pretende se conectar
- Host Header: Enviado posteriormente dentro do pedido HTTP criptografado, especificando o domínio real sendo acessado
Com o encaminhamento de domínio, os atacantes deliberadamente descoordenam esses dois campos, por exemplo, usando um domínio benigno no SNI (ex.: example.com) e um malicioso no cabeçalho Host (ex.: malicious-cnc.com). Isso permite que o tráfego de Comando e Controle (CnC) pareça destinado a um serviço legítimo, muitas vezes oculto por trás de grandes provedores de nuvem ou CDN.
Diferentemente de outras soluções que exigem regras ou atualizações especiais para lidar com o encaminhamento de domínio, a arquitetura da Cato detecta e bloqueia tentativas de encaminhamento de domínio inerentemente. Faz isso reavaliando continuamente a verdadeira identidade de um fluxo à medida que mais informações se tornam disponíveis (para mais informações, veja Entendendo o Fluxo de Pacotes com a Arquitetura Cato SPACE, que explica esse processo de reavaliação dinâmica).
A Cato usa um conceito chamado nome do host unificado, um identificador atualizado dinamicamente que representa o verdadeiro destino de um fluxo. Este identificador é refinado em cada estágio de inspeção:
- Durante a fase de resolução DNS, a Cato identifica o DNAME, o domínio associado ao endereço IP de destino
- Durante o handshake TLS, a Cato observa a Indicação do Nome do Servidor (SNI), que mostra o nome do host que o cliente está tentando alcançar
- Após a inspeção TLS, uma vez que o tráfego criptografado é descriptografado, a Cato pode ver o cabeçalho Host do HTTP, revelando o domínio real sendo acessado
A Cato reavalia o nome do host unificado em cada um desses estágios. Se o domínio do cabeçalho Host conflitar ou diferir do SNI original, a Cato o trata como nova inteligência e aciona a reavaliação nos motores Firewall (FW) e Sistema de Prevenção de Intrusões (IPS).
Isso significa que ambos os produtos são efetivamente reaplicados com o novo contexto do nome do host. Se o host recém-revelado for malicioso (ou seja, configurado para ser bloqueado pelo Firewall ou incluído em uma assinatura de bloqueio do IPS), a Cato o bloqueia imediatamente, mesmo que o SNI original e o endereço IP de destino parecessem benignos.
Esta inspeção em camadas garante que canais CnC tentando se esconder atrás de domínios confiáveis sejam bloqueados assim que o verdadeiro destino é exposto.
Para validar a proteção da Cato contra o encaminhamento de domínio, você pode reproduzir o processo de detecção por conta própria:
- Criar uma Regra de Firewall: Certifique-se de ter uma regra de Firewall configurada para bloquear anonimizadores (ou crie uma se ainda não existir).
-
Enviar uma Solicitação de Teste: Execute o seguinte comando curl:
curl -v https://example.com -H 'Host: expressvpn.com'O comando é bloqueado pelo Firewall
-
Verificar o Bloqueio: No CMA, verifique a página de Eventos em acertos de regras de Firewall para confirmar o bloqueio. Nos atributos do evento, o campo Endereço IP de Destino é o endereço IP de examplee.com, enquanto o campo Nome do Domínio é atualizado com o domínio que apareceu por último no cabeçalho Host do HTTP: expressvpn.com.
Opcional: Você também pode capturar o tráfego no Wireshark (se enviado em texto simples em vez de HTTPS) para visualizar o cabeçalho Host e confirmar o evento de bloqueio.
Após aplicar a Configuração, você pode verificar o comportamento executando o seguinte comando:curl -v https://chatgpt.com -H 'Host: echo.free.beeceptor.com'
Essas etapas fornecem uma maneira transparente de observar como a Cato neutraliza tentativas de encaminhamento de domínio por meio de seu processo de reavaliação pós-inspeção.
Abaixo está um exemplo de captura do Wireshark mostrando os fluxos DNS e HTTP do teste:
Ele mostra uma consulta DNS para examplee.com, seguida por uma solicitação HTTP onde o cabeçalho Host aponta para expressvpn.com. A resposta HTTP retorna 403 Forbidden, confirmando que a Cato bloqueou com sucesso a solicitação com encaminhamento de domínio.
O encaminhamento de domínio é uma técnica usada para ocultar comunicação maliciosa atrás de domínios legítimos. Enquanto algumas soluções têm dificuldade em identificar tráfego que se esconde atrás de domínios legítimos, a arquitetura da Cato, com reavaliação unificada de nome de host e revalidação de motor duplo, bloqueia essas tentativas inerentemente. Ao atualizar continuamente o SNI, o cabeçalho Host e as informações de IP em estágios de inspeção, a Cato garante que canais de CnC disfarçados atrás de domínios confiáveis nunca passem.
0 comentário
Artigo fechado para comentários.