安全厂商FireEye公司正继续对APT29组织进行追踪（又名The Dukes、舒适熊以及Cozy Duke），并于本周一透露称，该网络间谍集团曾经利用一种名为“域名前移（domain fronting）”的技术提升对攻击活动进行归因的难度。

去年12月，Signal开发团队正式介绍了“域名前移”这一能够用于逃避审查机制的技术。

然而令人惊讶的是，APT29组织早在很久之前就已经开始使用此类技术，而当时IT安全社区对此几乎一无所知。

所谓域名前移技术，是一种依赖在不同应用层使用不同域名的方式逃避审查的技术手段。

根据加利福尼亚大学伯克利分校、Psiphon以及Brave New Software公司的研究人员们联合发表的一篇论文所言，域名前移技术能够“隐藏通信中的远程端点。域名前移作为应用层起效，其利用HTTPS与违禁主机进行通信，但表面上看起来却是在与其它主机通信，从而逃避安全审查。”

这份论文同时解释称，“其核心思路在于立足多个不同通信层使用不同域名。其中一个域名用于在HTTPS请求之外进行显示——即存在于DNS请求与TLS服务器名指示当中——而另一域名则为内部真实存在，即包含于HTTP主机标头内且受HTTPS加密保护而无法被审查机制所发现。在这种情况下，审查机制将无法判断指向该域名的前移及未前移流量，因此只能选择完全允许全部流量或者彻底屏蔽该域名——这无疑会造成昂贵的附加损害。”

这项域名前移技术易于部分及使用，且不需要由网络中继机制进行特殊操作。

APT29组织至少在两年之前就已经开始使用域名前移技术，黑客们利用Tor网络与受感染设备进行通信。为了将Tor流量伪造为合法流量，这群网络犯罪分子使用了Meek——一款专门用于实现域名前移技术的Tor插件，其允许用户在一条指向google.com的看似无害HTTPS POST请求内发送实际指向Tor的流量。

FireEye公司发布的分析报告指出，“APT29The Onion Router（简称TOR）与TOR域名前移插件meek以创建一条隐藏的加密网络隧道，且后者看似是在通过TLS接入谷歌服务。这条隧道能够为攻击者提供利用终端服务（简称TS）、NetBIOS以及Server Message Block（简称SMB）服务对主机系统的远程访问能力，同时其流量看似指向合法网站。攻击者亦利用一项常见的Windows安全漏洞以在未经身份验证的情况下访问高权限命令shell。”

攻击者们利用一套PowerShell脚本外加一个.bat文件在目标系统上安装Tor客户端与Meek插件。

APT29组织利用Sticky Keys漏洞替换合法的Windows命令提示符（即cmd.exe）可执行文件，并在目标系统上获取一条具备SYSTEM级别权限的shell。通过这种方式，攻击者们得以执行其它多项命令，其中包括添加新的帐户。

分析报告进一步介绍称，“攻击者执行Powershell脚本C:Program Files(x86)Googlestart.ps1以安装TOR服务并实现‘Sticky Keys’漏洞。此套脚本在执行后即被删除，且不可恢复。”

这套负责执行Sticky Keys漏洞的脚本亦被用于在目标设备上实现持久驻留，其会创建一项名为“Google Update”的Windows服务。

分析报告总结称，“通过采用这种公开的实现方案，他们能够隐藏自己的网络流量、最大程度降低研发需求并使用多种难于归因的入侵工具。要在网络之上成功检测到此类活动，需要查看TLS连接并检查实际网络签名。”