行业新闻与博客

已经发现了一种新的隐蔽信道数据交换方法。它使用众所周知且广泛实施的公钥证书标准（X.509），这是 TLS 和 SSL IP 实现的标志，用于保护 Web 通信。

根据 Fidelis Security 的威胁研究首席工程师 Jason Reaves 的说法，证书交换的方式存在缺陷，这可能会使他们被劫持以进行命令和控制（CnC）通信。该过程最终也会绕过共同的安全措施。

Reaves 创建了一个概念验证（PoC），显示通过 TLS 协商流量传输的恶意二进制文件，以模拟威胁行为者将  Mimikatz  数据提取恶意软件转移到已经受损的系统。 

实质上，在进行安全连接之前，在TLS握手期间交换证书。通过将任意二进制数据放入证书本身，Reaves发现了一个可用于从客户端和服务器角度发送或接收数据的系统。同时，通过

X.509 扩展传输的数据可能会绕过不检查证书值的检测方法。正如他在分析中解释的那样：

X.509 证书有许多字段可以存储字符串...字段包括版本，序列号，颁发者名称，有效期等。证书滥用......利用这一事实隐藏其中一个字段内的数据传输。由于证书交换发生在TLS会话建立之前，似乎永远不会进行数据传输，而实际上数据是在证书交换本身内传输的。

在缓解和检测方面，PoC 使用自签名证书，因此在周边阻止自签名证书可能是这些攻击的有用保护机制。签名的另一种可能性是检查证书中的可执行文件。

虽然在野外尚未发现任何漏洞，但这些证书的广泛使用意味着许多组织可能对这种新的数据传输方法持开放态度，这种方法本身并不是那么不寻常。

“使用隐蔽通道在网络上传输数据并不新鲜......例如，向 ICMP 附加数据被提议作为一种在 2005 年传输数据的手段，引用指向 1997 年的出版物，”Reaves 说。“事实上，最早提到实用隐蔽频道的提法之一出现在 1993 年的政府出版物中。研究人员继续寻找新的方法来滥用协议和 RFC 实现来实现难以检测的数据传输方法。”