Malware bruger i stigende grad TLS til at tilsløre kommunikation
Sikkerhedseksperter, der arbejder med Sophos, offentliggjorde for nylig en rapport om de skiftende tendenser inden for malware og ransomware. Publikationen viser, at der har været en meget betydelig stigning i malware, der bruger TLS eller transportlagsikkerhed til at tilsløre kommunikation og undgå afsløring.
TLS henviser til krypteringsprotokollen, der håndterer kommunikation i almindelig HTTPS, efterfølger til SSL eller et sikkert sockets-lag. TLS bruges i en række andre applikationer uden for sikker HTTP-kommunikation.
Ifølge statistikken offentliggjort af Sophos er malware, der bruger TLS til kommunikation, hvad enten det betyder at modtage kommandoer fra sin C2-server eller downloade yderligere nyttelast, næsten fordoblet. For et år siden brugte omkring 24% af malware TLS-kryptering i sin kommunikation, mens dette tal er vokset til næsten det dobbelte, 46%.
Den stigende anvendelse af TLS skyldes, at dette ekstra tilsløringslag gør det meget sværere for sikkerhedsforskere at opdage og forhindre spredning af malware, herunder ransomware.
Malware kan gøre brug af TLS i alle dens vigtigste kommunikationsformer, uanset om det er at uploade stjålne data fra det kompromitterede netværk, kommunikere med sin C2-server eller downloade yderligere nyttelast til offerets system.
Sophos erklærede, at en stor del af problemet med TLS at være mere udbredt i malware er, at malware-operatører bruger mere og mere legitime web- og skybaserede platforme, der iboende er sikret med TLS. Cloudløsninger og -tjenester bruges ofte til både aflæsning af stjålne data og til hosting af ondsindede nyttelast.
Sikkerhedsteamet på Sophos oplyser endvidere, at over de sidste tre måneder brugte mere end halvdelen af alle C2-servere TLS og HTTPS til at kommunikere med deres tilknyttede ondsindede nyttelast. Et eksempel på malware, der bruger legitime tjenester til dets formål, er en særlig stamme af BitLocker-ransomware, der downloadede sine ondsindede scripts fra et regneark, der er hostet på Google Docs, igen ved hjælp af TLS-kryptering i processen.
Dette er kun et illustrativt eksempel fra Sophos. Virksomheden offentliggjorde også statistikker om brugen af malware-callhome-destinationer. Blandt de store, legitime hostingløsninger er Google Cloud i spidsen med en andel på 9% efterfulgt af den indiske teleudbyder BSNL.
