当前位置:安全资讯 >> 全文

X.509 证书可滥用于数据渗透

发布时间:2018-2-11 10:44 标签: X.509,公钥证书,数据渗透
分享到 0

研究人员表示,想通过隐秘渠道从受防火墙保护的网络中窃取数据的攻击者,能滥用 X.509 证书隐藏并提取数据且不会被检测到。

X.509 只是很多种公钥证书中的一种。这些证书用于设置支持 HTTPS 加密流量的 TLS/SSL 连接。

Fidlis 网络安全公司的一名研究员 Jason Reaves 去年发布一篇研究论文详细说明了攻击者如何能够利用 HTTPS 谈判进程的良性元素隐藏细微信息。

攻击者可将数据隐藏在 X.509 元数据字段中

这种情况是可能存在的,因为一些 X.509 证书字段允许攻击者将微小的二进制数据放置在其中。

Reaves 表示,“这些字段包括版本、序列号、发布机构名称、有效期等。研究中所述的证书滥用情况利用这个事实将数据传输隐藏在其中一个字段中。”

他还指出,“由于证书交换在 TLS 会话创建之前就已存在,因此似乎永远不会出现数据交换情况,而实际上数据在证书交换的过程中被传输。”因此防火墙甚至是具有 HTTPS MitM 功能的防火墙也无法检测到滥用该技术的攻击者。

PoC 已发布在 GitHub

如今,威胁行动者们已经滥用多种其它类型的数据渗透渠道,如 ICMPDNS、图像(隐写术)等。Reaves 表示他并未发现有证据表明恶意软件作者已经开始使用 X.509 在现实生活中实施数据渗透,但认为这些方法难以被检测到。

X.509 被用作一种秘密的数据渠道并非新鲜事,早在2008年就已存在。Reaves 的研究工作是一种拓展,展示了执行此类攻击的一种新机制。

Reaves 已发布 PoC 代码,是一个通过 X.509 证书元数据字段传输文件的 Go 框架。

Reaves X.509 研究工作可用于在系统内部或外部传输文件。感兴趣的读者可阅读 Reaves 发布的研究论文《滥用 X.509 扩展的秘密渠道》了解更多技术详情。

 

本文由360代码卫士编译,不代表360观点,转载请注明“转自360代码卫士www.codesafe.cn”。
原文链接:https://www.bleepingcomputer.com/news/security/x-509-certificates-can-be-abused-for-data-exfiltration/
参与讨论,请先 登录 | 注册

用户评论