Domain Fronting Atağı Nedir?

• Domain Fronting Atağı, en basit tabirle aynı HTTPS bağlantısı üzerinden farklı ve zararlı domainlere yönelik kullanımının sağlanması şeklinde basitçe özetlenebilir. HTTPS trafiği gizli/şifreli bir şekilde yapıldığından dolayı saldırganlar zararlı domain yönlendirmelerini bu sayede gizleyebilmektedir.
• Saldırganlar Domian Fronting’i kullanırken itibarı yüksek/bilindik kurumlara yönelik alan adlarının kullanmasını sağlamaktaydı(Google/Amazon). Fakat 2018'den itibaren Google ve Amazon CDN yapılarından vazgeçerek/değiştirerek Domain Froting’in etkisi bir nebze azalmış oldu. Fakat yine de saldırganlar tarafından tercih edilmektedir. Ayrıca 2022'de Microsoft, 2015 ise CDN yapısında değişikliğe gitmiştir. Özellikle finans, sigortacılık, üretim faaliyetleri gibi bir çok sektörde görülen saldırı biçimidir.

Domain Fronting Atağı nasıl çalışır?

• Domain Froting Atağı ile ilgili bazı açıklamaları yapmadan önce bazı ağ bileşenleri bilmek gerekli. Bunun için SNI’yı ve CDN’in ne olduğunu bilmek önemli. Öncelikle bunların ne olduğunu biraz irdeleyelim;
• SNI(Server Name Indication), en basit tabirle TLS protokolü uzantısı ve TLS bağlantısının ilk fazından sorumludur diyebiliriz. Biraz açıklamak gerekirse eğer; bir web sunucusu birden fazla hostname’e sahiptir. Bu web sunucuları web sayfalarına erişim esnasında HTTPS kullandığı takdirde hostname adları SSL sertifikasına tabi olur. Ayrıca web sunucularında tanımlı olan hostname’ler ise tek bir IP adresine bağlıdır.
• HTTPS bağlantısından önce güvenli iletişimi doğrulamak adına HTTP bağlantısı gerçekleşir. Bu bağlantı TLS anlaşması denilebilen bir bağlantı olarak tanımlanabilir. Bu TLS bağlantısının hangi hostname üzerinde gerçekleşeceği noktasında ise SNI’ya ihtiyaç duyulur. SNI, aynı IP adresi üzerinden hostnameler arası sertifikaları sunmasına olanak sağlar. Böylece TLS handshake(el sıkışması) adı verilen doğrulama başlar ve istenilen domain için sertifika doğrulanır.
• CDN(Content Delivery Network), web sunucuların içeriğinde bulunan JS, HTML, CSS vb. gibi içerikleri önbelleğe alınması için kullanılan sunucu yapılarıdır. Kısacası bir istemci erişmek istediği bir içeriğe daha hızlı yoldan erişebilmesi için kullanılan ve özel içerik yönlendirmesi yapılan coğrafi avantaj sunan sunucu tipleridir.

Domain Fronting’in nasıl yapıldığına dönersek eğer;

• Bir web sitesine(web sayfasına) erişilmek istendiğinde DNS, HTTP, TLS gibi en temel ağ bileşenleri tetiklenir. Bir adrese(domain/alan adı) erişilmek istendiğinde bu adres sayısal olarak anlam ifade eden ve IP olarak tanımlanan bir başka adrese dönüştürülür. Bu IP adresi HTTP veya daha güvenlik olarak nitelendirilen HTTPS üzerinde çalışır. Alan adının IP adrese dönüştürülmesi esnasında (normal şartlarda) bir değişim gözlemlenmez. Ancak alan adı yönlendirmesinde TLS ve DNS aynı kalırken HTTPS’de değişimler olabilmektedir. DNS kayıt içeriklerinde düzgün bir yapılandırma yapılsa bile HTTPS ile zararlı bir adrese yönlendirme yapılabilir.
• Domain Froting’de saldırgan TLS uzantısı olan SNI’yı kullanarak HTTPS bağlantısı için bir el sıkışma iletilir. Web sunucusu bu isteği kabul ederek şifreli bir HTTPS trafiği başlatır. Bu istekler web sunucusunun alt alan adları ile eşleşerek şifreli bir trafik başlatır. Saldırganlar bu trafiği gizledikten sonra hostname’lere ait alt alan adları ve sıklıkla CDN’leri hedef alır ve sahip oldukları zararlı adresleri ile iletişime geçmiş olur.
• Kısacası örnek vermek gerekirse; zararlisite[.]com adresine erişmek isteyen bir kullanıcının engellendiğini veya yasaklı olduğunu varsayalım. Burada meşru olarak kullanılan medium.com’u kullanılarak zararlisite[.]com erişilmesini sağlamaktır. DNS ve TLS bağlantı istekleri medium.com’ı gösterse bile HTTPS bağlantısı zararlisite[.]com’a yönlendirecektir.

• Domain Fronting atağını basit bir örnek gösterilerek yapılışı

Burada wget ile google’a giderek “ — header” paratmeresi ile HTTP Header’da Host parametresi youtube.com olarak gidilebilir. Böylece google.com adresi üzerinden youtube’a gidilmiş olur.

• Discord dosya ve içerik paylaşımı için hız ve performans odaklı olması açısında CDN serverlara dayalı bir platformdur. İş hayatımda sıklıkla discord’un CDN yapısı kullanılarak oltalama amaçlı zararlı dosyalar iletildiğine şahit oldum. Bu tip dosyaların bulunduğu URL’lere aşağıda ilettiğim ekran görüntüsünden inceleyebilirsiniz.

Domain Fronting Atağı nasıl önlenir;

• Zararlı trafiği engellemek adına bir proxy sunucu kurarak HTTP başlıklarının(header) HTTPS başlıkları ile aynı olduğuna emin olunmalıdır.
• DNS kayıtlarının sağlıklı bir şekilde yapılandırılmalıdır. DNS kayıtları(A, CNAME, TXT, SOA, MX vb.) yanlış bir şekilde yapılandırıldığında veya güncelliğini yitirdiğinde saldırganlar zararlı adreslerini size doğru yönlendirmesi kolaylaşacaktır.
• DGA domainleri tespit ederek şüpheli aktiviteleri izleyin.
• PKI(Public Key Infrastructure) gibi kod imzalama anahtarlarını sıklılıkla kullanın ve güvenliğinden emin olun. Böylece kullanıcıların kullandıkları uygulamaların orjinalliğinden emin olunduğu kadar DNS kayıtlarının güvenilirliği de sağlanmış olur.
• Discord ve Telegram gibi sıklıkla olarak kullanılan ve CDN yapısına bağlı mesajlaşma uygulamalarını kısıtlamanız ve mümkünse kurumunuzda engellemeniz tavsiye edilir.
• Domain Froting atağının sıklıkla görüldüğü ve enfekte olduğu bazı uygulamalar ise; Lantern, Signal, Tor Browser, Telegram, Telex, GreatFire.
• Cozy Bear olarak da adlandırılan APT29 grubu sıklıkla Domain Froting’i saldırı yöntemine başvurmaktadır. APT29 grubu için oluşabilecek TTP durumları izlenmeli ve analiz edilmelidir.

Bu aşamaya kadar yazımı okuduğunuz için teşekkür ederim :) Bir Ramazan gününde(7. gün) yayınladığım bu yazı için ayriyeten Hayırlı Ramazanlar demeyi de ihmal etmeyim :)
Bu yazının şarkısını buradan dinleyebilirsiniz. Keyifli dinlemeler.