最新研究顯示��,46%的惡意軟件使用加密協(xié)議來(lái)逃避檢測(cè)���、與攻擊者控制的服務(wù)器通信�,以及滲漏數(shù)據(jù)�。
創(chuàng)新互聯(lián)2013年開(kāi)創(chuàng)至今,是專業(yè)互聯(lián)網(wǎng)技術(shù)服務(wù)公司���,擁有項(xiàng)目網(wǎng)站設(shè)計(jì)制作���、網(wǎng)站建設(shè)網(wǎng)站策劃,項(xiàng)目實(shí)施與項(xiàng)目整合能力�。我們以讓每一個(gè)夢(mèng)想脫穎而出為使命,1280元田家庵做網(wǎng)站,已為上家服務(wù),為田家庵各地企業(yè)和個(gè)人服務(wù),聯(lián)系電話:18982081108
攻擊者大量使用傳輸層安全(TLS)加密協(xié)議隱藏惡意軟件通信��,給企業(yè)安全團(tuán)隊(duì)的應(yīng)對(duì)帶來(lái)了新挑戰(zhàn)�����。
2021年第一季度���,網(wǎng)絡(luò)安全公司Sophos對(duì)惡意軟件樣本的分析發(fā)現(xiàn)�����,通過(guò)互聯(lián)網(wǎng)與遠(yuǎn)程系統(tǒng)通信的惡意軟件中��,近半數(shù)(46%)使用了TLS協(xié)議����。相比2020年23%的惡意軟件工具使用TLS,這代表著100%的增長(zhǎng)率���。
增長(zhǎng)迅猛的主要原因在于���,網(wǎng)絡(luò)罪犯越來(lái)越愛(ài)使用谷歌云服務(wù)、Pastebin�、Discord和GitHub等合法TLS保護(hù)的云和Web服務(wù)��,采用這些合法TLS服務(wù)托管惡意軟件���、存儲(chǔ)被盜數(shù)據(jù)��,以及進(jìn)行控制與通信操作����。另一個(gè)原因是����,攻擊者更多地采用Tor和其他基于TLS的網(wǎng)絡(luò)代理來(lái)加密與惡意軟件之間的通信。
Sophos高級(jí)威脅研究員Sean Gallagher稱:“分析研究的主要收獲是�����,篩查惡意軟件時(shí)沒(méi)有‘安全’域或‘安全’服務(wù)這種東西,傳統(tǒng)防火墻防御基于信譽(yù)掃描��,沒(méi)有深度包檢測(cè)�,根本無(wú)法保護(hù)系統(tǒng)?�!?/p>
Sophos的報(bào)告再次凸顯出互聯(lián)網(wǎng)加密迅速鋪開(kāi)的雙刃劍本質(zhì)�。過(guò)去幾年里,隱私倡導(dǎo)者���、安全專家���、瀏覽器制造商等群體大力宣傳要廣泛采用加密協(xié)議來(lái)保護(hù)互聯(lián)網(wǎng)通信,防止互聯(lián)網(wǎng)通信遭到間諜竊取和監(jiān)控�。
在他們的努力下,使用TLS的HTTPS協(xié)議幾乎完全替代了老版HTTP協(xié)議�。HTTPS最具影響力的擁護(hù)者谷歌表示,其美國(guó)境內(nèi)資產(chǎn)上承載的流量中92%使用了TLS����。這一比例在其他國(guó)家甚至更高。比如說(shuō)��,在比利時(shí)和印度,通往谷歌站點(diǎn)的流量中98%是加密的;在日本和巴西��,這一比例是96%;而在德國(guó)��,通往谷歌的流量里94%是加密的���。
盡管HTTPS和TLS在電子郵件系統(tǒng)��、虛擬專用網(wǎng)和其他領(lǐng)域中的整體采用率上升促進(jìn)了隱私和安全�����,但也給攻擊者利用同樣的加密技術(shù)隱藏其惡意軟件和惡意通信制造了機(jī)會(huì)��,讓他們更容易躲過(guò)常規(guī)檢測(cè)機(jī)制。
Farsight Security總裁�、首席執(zhí)行官兼聯(lián)合創(chuàng)始人,互聯(lián)網(wǎng)先鋒Paul Vixie表示:“我們構(gòu)建出來(lái)的東西��,沒(méi)什么是壞人用不了的�。”TLS背后的推動(dòng)力大多來(lái)自保護(hù)互聯(lián)網(wǎng)用戶的善意努力����,想要讓專制國(guó)家的互聯(lián)網(wǎng)用戶免遭政府及其情報(bào)機(jī)構(gòu)攔截和窺探他們的在線通信�。但這同樣的技術(shù)也讓攻擊者受益匪淺���。打造只有益于持不同政見(jiàn)者的技術(shù)是不可能的��。
? 惡意用例多種多樣
Sophos的分析顯示��,攻擊者將TLS用于滲漏數(shù)據(jù)���、進(jìn)行命令與控制(C2)通信,以及在傳播惡意軟件時(shí)規(guī)避檢測(cè)系統(tǒng)�。此類活動(dòng)中的絕大部分日常惡意TLS流量來(lái)自惡意軟件投放器、加載器和在已感染系統(tǒng)上下載其他惡意軟件的工具��。
許多實(shí)例中�����,惡意軟件投放器和加載器使用Pastebin��、Discord和GitHub等合法TLS支持的網(wǎng)站進(jìn)一步偽裝其惡意流量�����。Sophos指出了其中幾個(gè)案例,例如LockBit勒索軟件的一款基于PowerShell的投放器就通過(guò)TLS從Google Docs電子表格檢索惡意腳本���,信息竊取軟件AgentTesla則從Pastebin抓取其他代碼��。
Sophos還觀測(cè)到勒索軟件攻擊中TLS使用的增長(zhǎng)���,尤其是在手動(dòng)部署惡意軟件的攻擊實(shí)例中。其中很大一部分增長(zhǎng)源自Metasploit和Cobalt Strike等攻擊性安全工具包的使用激增�,此類工具包被大量用于執(zhí)行腳本、收集系統(tǒng)信息���、抽取登錄憑證和執(zhí)行其他惡意活動(dòng)����。
Gallagher表示:“我們看到TLS主要用于惡意軟件攻擊的前期階段����,為專注手動(dòng)攻擊的工具所用����。大多數(shù)遠(yuǎn)程訪問(wèn)木馬(RAT)和僵尸惡意軟件采用其他方法混淆或加密通信,比如硬編碼AES加密或更簡(jiǎn)單的定制編碼�����?���!?/p>
與此同時(shí),在數(shù)據(jù)滲漏攻擊中�,攻擊者使用惡意軟件和其他方法將被盜數(shù)據(jù)封裝進(jìn)基于TLS的HTTPS POST請(qǐng)求,或者通過(guò)私有TLS連接將被盜數(shù)據(jù)導(dǎo)出到Telegram�����、Discord或其他云服務(wù)API�����。
目前�,谷歌云服務(wù)和印度國(guó)有電信公司BSNL是最大的兩個(gè)惡意軟件“回連”目的地,分別占Sophos觀測(cè)到的全部惡意軟件TLS請(qǐng)求的9%和8%��??偟恼f(shuō)來(lái),惡意軟件相關(guān)TLS通信中目前有一半直接通往位于美國(guó)和印度的服務(wù)器����。
企業(yè)網(wǎng)絡(luò)上的一些惡意TLS流量不使用標(biāo)準(zhǔn)IP端口:443、80和8080。所以��,惡意TLS使用的整個(gè)范圍可能會(huì)比在標(biāo)準(zhǔn)端口號(hào)上觀測(cè)到的要多�。
? “隨機(jī)噪音”
Farsight創(chuàng)始人Vixie表示,下一代HTTP/3采用的QUIC互聯(lián)網(wǎng)傳輸協(xié)議和DNS over HTTPS(DoH)等新興標(biāo)準(zhǔn)�����,將會(huì)給企業(yè)安全團(tuán)隊(duì)帶來(lái)更復(fù)雜的局面?,F(xiàn)有防火墻技術(shù)和其他檢測(cè)機(jī)制無(wú)法檢測(cè)經(jīng)由這些機(jī)制隱藏的惡意軟件。Vixie稱:“沒(méi)人能弄清到底發(fā)生了什么����。他們能看到的全都是純粹的隨機(jī)噪音不斷涌來(lái)。根本無(wú)法分清隨機(jī)噪音中哪些是惡意的哪些是良性的����。”
這種趨勢(shì)可能會(huì)讓企業(yè)被迫退回以往那種只放行已知合法流量的檢測(cè)模式:不在網(wǎng)絡(luò)邊緣放置防火墻��,而是在網(wǎng)絡(luò)邊界設(shè)置代理����,檢查所有進(jìn)出網(wǎng)絡(luò)的流量�。來(lái)自網(wǎng)絡(luò)內(nèi)部的所有數(shù)據(jù)包都需要披露目的地址,然后應(yīng)用各種策略來(lái)確定是繼續(xù)發(fā)送,還是就此阻止���。
實(shí)施此類檢測(cè)模式會(huì)帶很大不便�。所以��,企業(yè)可能必須考慮組織自身網(wǎng)絡(luò)拓?fù)?���,讓不太敏感的?shù)據(jù)在控制更少的網(wǎng)絡(luò)上流轉(zhuǎn),而敏感數(shù)據(jù)放在代理之后加以保護(hù)��。
本文題目:[調(diào)查]近半數(shù)惡意軟件藏身TLS加密通信
本文網(wǎng)址:
http://uogjgqi.cn/article/dpejoip.html
