Tin bảo mật mới nhất cho thấy kỹ thuật Underminr đang bị lạm dụng trên hạ tầng Content Delivery Network (CDN) dùng chung để vượt qua cơ chế DNS filtering và che giấu lưu lượng độc hại sau các miền đáng tin cậy.
Underminr Và Cách Lợi Dụng Hạ Tầng CDN Chia Sẻ
Theo nghiên cứu từ ADAMnetworks, lỗ hổng vận hành nằm ở cách một số hệ thống bảo mật xác thực yêu cầu DNS, kết nối TLS và định tuyến qua CDN edge. Kỹ thuật này cho phép kết nối trông hợp lệ ở bề mặt, nhưng thực tế lại giao tiếp với đích độc hại.
Trong các trường hợp quan sát được, hệ thống của nạn nhân phân giải một miền tin cậy như whatismyipaddress.com, miền này vẫn được phép bởi protective DNS (PDNS). Tuy nhiên, kết nối mã hóa thực tế có thể bị chuyển hướng đến một miền khác như evilsite.ai, cùng nằm trên một shared CDN edge IP.
Do nhiều lớp phòng thủ doanh nghiệp chỉ dựa vào reputation của DNS hoặc kiểm tra TLS ban đầu, sự không khớp giữa bản ghi DNS và đích kết nối cuối thường không bị phát hiện. Đây là điểm mù đáng kể trong an ninh mạng khi chỉ dựa vào xác thực ở lớp đầu vào.
Cách Hoạt Động Của Kỹ Thuật Vượt Qua DNS Filtering
Khác với domain fronting truyền thống vốn đã được các nhà cung cấp cloud lớn giảm thiểu từ khoảng năm 2018, Underminr thao túng SNI và HTTP Host header trong khi vẫn sử dụng phản hồi DNS hợp lệ. Điều này khiến việc phát hiện và chặn lưu lượng trở nên khó khăn hơn.
Kỹ thuật này không phụ thuộc vào một mẫu triển khai duy nhất. ADAMnetworks ghi nhận rằng kẻ tấn công có thể dùng script đơn giản, malware, hoặc cả phương thức social engineering như các ClickFix attacks để lừa người dùng tự thực thi lệnh trên máy cục bộ.
Ảnh Hưởng Đến Hệ Thống
Sau khi hoạt động, kỹ thuật này có thể hỗ trợ nhiều hành vi độc hại, bao gồm:
- Command-and-control (C2) communication.
- Data exfiltration.
- VPN tunneling.
- Policy circumvention.
Điểm nguy hiểm là toàn bộ hoạt động có thể xuất hiện như lưu lượng bình thường đến các dịch vụ tin cậy, làm giảm hiệu quả của phát hiện tấn công dựa trên DNS hoặc TLS sơ bộ.
Liên Quan Đến MITRE ATT&CK Và Mô Hình Tấn Công Mạng
Các kỹ thuật này phù hợp với những phương thức trong MITRE ATT&CK như protocol tunneling và abuse of external remote services. Theo báo cáo, chúng cũng được liên kết với các nhóm đe dọa nâng cao sử dụng công cụ như SoftEther VPN để duy trì hiện diện và tránh bị phát hiện.
Trong bối cảnh mối đe dọa mạng ngày càng phức tạp, việc che giấu C2 và luồng dữ liệu qua hạ tầng dùng chung làm tăng rủi ro bảo mật cho các môi trường dựa nhiều vào kiểm soát DNS.
IOC Và Dấu Hiệu Cần Lưu Ý
- Underminr – tên kỹ thuật được mô tả trong nghiên cứu.
- whatismyipaddress.com – miền hợp lệ được dùng làm đích DNS ban đầu trong ví dụ.
- evilsite.ai – miền đích độc hại được nhắc đến trong luồng chuyển hướng.
- Shared CDN edge IP – cùng địa chỉ biên CDN được dùng để làm mờ đích thực sự.
- SNI và HTTP Host mismatch – dấu hiệu cần đối chiếu với DNS logs.
Cảnh Báo CVE Và Vấn Đề Phòng Thủ Dựa Trên DNS
Nội dung này không nêu một cảnh báo CVE cụ thể, nhưng nhấn mạnh một vấn đề kỹ thuật quan trọng: protective DNS có thể bị vô hiệu hóa về mặt thực tiễn nếu không có tương quan sâu giữa DNS query, metadata kết nối và đích thực tế.
ADAMnetworks cảnh báo các tổ chức chỉ dựa vào DNS filtering hoặc kiểm tra TLS một phần sẽ đặc biệt dễ bị ảnh hưởng, nhất là trong môi trường không có full proxying hoặc giải mã lưu lượng. Đây là một rủi ro an toàn thông tin đáng chú ý khi thiết kế kiến trúc phòng thủ mạng.
Khuyến Nghị Giám Sát Và Kiểm Soát
Để giảm thiểu kỹ thuật này, cần đối chiếu đồng thời các trường DNS và metadata kết nối, thay vì chỉ dựa vào phản hồi DNS ban đầu.
- Correlate DNS queries với connection metadata.
- Giám sát actual connection endpoints.
- Kiểm tra sự khác biệt giữa miền được phân giải và miền đích thực tế.
- Tăng cường log ở lớp TLS, proxy và CDN edge.
Tài liệu kỹ thuật tham chiếu có thể xem tại Underminr technical overview.
Threat Intelligence Và Mở Rộng Quy Mô Tấn Công
ADAMnetworks cho biết đã có một sáng kiến chia sẻ threat intelligence cùng một công cụ quét trực tuyến để hỗ trợ tổ chức xác định domain của họ có dễ bị lạm dụng hay không. Đây là hướng tiếp cận phù hợp với các môi trường cần phát hiện xâm nhập sớm và đánh giá bề mặt bị lộ qua CDN dùng chung.
Khi IPv4 exhaustion tiếp tục đẩy nhiều dịch vụ lên hạ tầng chia sẻ, nguy cơ lạm dụng cross-tenant có thể tăng. Điều này làm mở rộng khả năng kỹ thuật tấn công mạng kiểu ẩn danh lưu lượng, đặc biệt trong các chiến dịch quy mô lớn.
Trong bối cảnh đó, việc phối hợp giữa nhà cung cấp CDN, chủ sở hữu domain và các nhà cung cấp bảo mật là yếu tố then chốt để giảm nguy cơ bảo mật từ các luồng kết nối ngụy trang qua dịch vụ hợp lệ.
Điểm Chính Cần Ghi Nhớ Khi Phát Hiện Tấn Công
Kỹ thuật Underminr cho thấy DNS filtering đơn lẻ không còn đủ để xác thực tính hợp lệ của lưu lượng nếu không đối chiếu với đích kết nối thực tế. Trong các môi trường chịu ràng buộc bảo mật cao, việc phát hiện phải dựa trên tương quan giữa DNS, TLS, SNI, Host header và endpoint cuối cùng.
Phát hiện tấn công hiệu quả cần ưu tiên dữ liệu telemetry đầy đủ từ proxy, DNS, và lớp truyền tải để tránh bỏ sót các kết nối trông hợp lệ nhưng thực chất là kênh command-and-control (C2) hoặc data exfiltration.
