Malware verwendet zunehmend TLS, um die Kommunikation zu verschleiern
Sicherheitsexperten, die mit Sophos zusammenarbeiten, haben kürzlich einen Bericht über die sich wandelnden Trends bei Malware und Ransomware veröffentlicht. Die Veröffentlichung zeigt, dass es einen sehr starken Anstieg bei Malware gegeben hat, die TLS oder Transport Layer Security verwendet, um die Kommunikation zu verschleiern und eine Erkennung zu vermeiden.
TLS bezieht sich auf das Verschlüsselungsprotokoll, das die Kommunikation in regulärem HTTPS, Nachfolger von SSL oder Secure Sockets Layer verwaltet. TLS wird in einer Reihe anderer Anwendungen außerhalb der sicheren HTTP-Kommunikation verwendet.
Laut den von Sophos veröffentlichten Statistiken hat sich die Malware, die TLS für die Kommunikation verwendet, unabhängig davon, ob sie Befehle von ihrem C2-Server empfängt oder zusätzliche Nutzdaten herunterlädt, nahezu verdoppelt. Vor einem Jahr verwendeten rund 24% der Malware TLS-Verschlüsselung für ihre Kommunikation, während sich diese Zahl mit 46% auf fast das Doppelte erhöht hat.
Die zunehmende Einführung von TLS ist auf die Tatsache zurückzuführen, dass diese zusätzliche Verschleierungsebene es Sicherheitsforschern erheblich erschwert, die Verbreitung von Malware, einschließlich Ransomware, zu erkennen und zu verhindern.
Malware kann TLS in allen Hauptkommunikationsmodi verwenden, unabhängig davon, ob gestohlene Daten aus dem gefährdeten Netzwerk hochgeladen, mit dem C2-Server kommuniziert oder zusätzliche Nutzdaten auf das System des Opfers heruntergeladen werden.
Sophos gab an, dass ein großer Teil des Problems, dass TLS in Malware häufiger auftritt, darin besteht, dass Malware-Betreiber immer mehr legitime web- und cloudbasierte Plattformen verwenden, die von Natur aus mit TLS gesichert sind. Cloud-Lösungen und -Dienste werden häufig sowohl zum Auslagern gestohlener Daten als auch zum Hosten bösartiger Nutzdaten verwendet.
Das Sicherheitsteam von Sophos gibt weiter an, dass in den letzten drei Monaten mehr als die Hälfte aller C2-Server TLS und HTTPS verwendet haben, um mit den zugehörigen schädlichen Nutzdaten zu kommunizieren. Ein Beispiel für Malware, die legitime Dienste für ihre Zwecke verwendet, ist eine besondere Belastung der BitLocker-Ransomware, die ihre schädlichen Skripts aus einer in Google Text & Tabellen gehosteten Tabelle heruntergeladen hat und dabei erneut TLS-Verschlüsselung verwendet.
Dies ist nur ein anschauliches Beispiel von Sophos. Das Unternehmen veröffentlichte auch Statistiken zur Verwendung von Malware-Callhome-Zielen. Unter den großen, legitimen Hosting-Lösungen liegt Google Cloud mit einem Anteil von 9% an der Spitze, gefolgt vom indischen Telekommunikationsanbieter BSNL.