以X-VPN为例,说说为什么要少用VPN进行上网?
2019-11-14 10:15:15 Author: www.4hou.com(查看原文) 阅读量:125 收藏

导语:很多注重隐私的用户都会在上网时使用VPN,他们自以为这样就会减少信息泄漏,其实这样做有时会造成更大的安全风险。今天我们就来说一说,那些绕过安全检测的VPN客户端是如何给你带来灾难性风险的?

Adversary-r3d1-900x450.png

很多注重隐私的用户都会在上网时使用VPN,他们自以为这样就会减少信息泄漏,其实这样做有时会造成更大的安全风险。今天我们就来说一说,那些绕过安全检测的VPN客户端是如何给你带来灾难性风险的?

palo alto networks (派拓网络)威胁情报团队unit 42的研究人员近日专门调查了X-VPN的安全性,该软件会使用各种绕过安全检测的技术。X-VPN是一种虚拟专用网(VPN),可以用来绕过互联网审查和流量测试,这对网络运营商以及VPN用户构成了巨大的风险。

X-VPN是目前市场上重视隐私,信息安全和在线自由的VPN客户端之一,借助X-VPN,您可以隐藏IP,在世界任何地方设置虚拟位置,以及在办公室,学校和国外取消阻止流和社交网络应用/站点。而且X-VPN具有无限带宽,体面的安全措施,并声称不会保留与您的在线,浏览或下载活动有关的任何日志。这意味着,它可以模仿各种流行的协议和服务来绕过使用设备的安全策略。因此,保护系统无法检测数据包,从而导致恶意流量进入网络或敏感信息离开网络。

逃避VPN连接的风险

使用X-VPN这样的VPN客户端会使这类软件的用户以及网络运营商面临风险,当用户决定使用VPN客户端时,必须考虑以下风险:

1.VPN提供商可信吗?当使用VPN时,来自客户端的所有数据都将发送给第三方,该第三方能够执行各种分析并记录数据。

2.VPN服务器所在国家或地区的管辖权:根据VPN提供商所在的地区,托管国可能要求VPN提供商与政府共享某些用户数据。在对X-VPN进行分析时,我们发现许多出口节点位于不同的国家或地区,VPN客户端通常会自动选择这些出口节点。

3.限制流量:由于VPN提供商可以完全控制来自其用户的数据,因此它可以限制甚至阻止与各种服务的连接,或者可以使某些内容提供商胜于其他服务。

4.恶意软件和间谍软件的风险:VPN客户端经常访问第三方资源,并且可以通过恶意软件或间谍软件程序感染主机。特别是如果VPN使用自定义加密,安全监控器将无法识别传入流量的恶意载荷。

5.使用客户端作为出口节点:VPN客户端可以允许其用户通过另一个最终用户的已安装客户端进行连接。在这种情况下,用作出口节点的最终用户可能应对其他VPN用户执行的任何非法活动负责。

考虑到与vpn相关的风险,网络运营商能够监控和控制vpn在其网络中的使用是多么的重要。下面,我们就深入分析一下X-VPN具体使用的安全逃避策略。

X-VPN使用的逃避技术

X-VPN的逃避技术基于使用TCP和UDP有效载荷的自定义加密,以及模仿其他应用层协议,如HTTP、SSL、FTP、NTP和SMTP。根据我们的研究,X-VPN使用由公共云提供商托管的大约10000个服务器实例,并每天用新的公共IP地址替换300-500个服务器实例。

为了隐藏数据包的实际有效载荷,X-VPN会模拟连接到的平时常用的服务,如www.google.com或www.bing.com:

1.png

X-VPN流量模拟网页浏览www.bing.com

如图1所示,X-VPN模拟的HTTP流量似乎是Bing的web浏览流量。图中高亮显示的字段是经过自定义加密的,可用作命令和控制流量或在客户端软件和X-VPN的服务器实例之一之间传输数据。

相比之下,图2显示了www.bing.com的实际web浏览流量的HTTP标头:

2.png

www.bing.com的实际流量

在SSL通信中也可以观察到相同的技术,其中X-VPN模拟SSL握手,例如对google.com的访问,如图3所示。

3.png

X-VPN模拟了与www.google.com的SSL握手

除了使用流行的服务作为域名,我们还观察到X-VPN使用生成的域,如8v9m.com。

X-VPN除了使用欺骗性的HTTP和SSL数据包通过策略实施系统通过隧道传输数据外,还对FTP,SMTP和NTP通信应用相同的原理,并将自定义编码的数据隐藏在包中显示为良性协议的字段中。

在图4的示例中, X-VPN使用看似与icloud.com通信的简单邮件传输协议(SMTP)数据包的结构来传输数据。 SMTP数据包流中的“FROM”和“TO”邮件地址显示为自定义加密值。假设X-VPN使用该流量进行命令和控制通信。

4.png

模拟SMTP流量的X-VPN

X-VPN使用类似的方法来利用FTP(文件传输协议)流量,其中用户名和密码经过自定义加密,从而以逃避安全检查的方式在客户端和服务器之间传递信息,如图5所示。

5.png

模拟FTP流量的X-VP

本文翻译自:https://unit42.paloaltonetworks.com/evasion-of-security-policies-by-vpn-clients-poses-great-risk-to-network-operators/如若转载,请注明原文地址: https://www.4hou.com/web/21495.html


文章来源: https://www.4hou.com/web/21495.html
如有侵权请联系:admin#unsafe.sh