Malware verwendet zunehmend TLS, um die Kommunikation zu verschleiern

Sicherheitsexperten, die mit Sophos zusammenarbeiten, haben kürzlich einen Bericht über die sich wandelnden Trends bei Malware und Ransomware veröffentlicht. Die Veröffentlichung zeigt, dass es einen sehr starken Anstieg bei Malware gegeben hat, die TLS oder Transport Layer Security verwendet, um die Kommunikation zu verschleiern und eine Erkennung zu vermeiden.

TLS bezieht sich auf das Verschlüsselungsprotokoll, das die Kommunikation in regulärem HTTPS, Nachfolger von SSL oder Secure Sockets Layer verwaltet. TLS wird in einer Reihe anderer Anwendungen außerhalb der sicheren HTTP-Kommunikation verwendet.

Laut den von Sophos veröffentlichten Statistiken hat sich die Malware, die TLS für die Kommunikation verwendet, unabhängig davon, ob sie Befehle von ihrem C2-Server empfängt oder zusätzliche Nutzdaten herunterlädt, nahezu verdoppelt. Vor einem Jahr verwendeten rund 24% der Malware TLS-Verschlüsselung für ihre Kommunikation, während sich diese Zahl mit 46% auf fast das Doppelte erhöht hat.

Die zunehmende Einführung von TLS ist auf die Tatsache zurückzuführen, dass diese zusätzliche Verschleierungsebene es Sicherheitsforschern erheblich erschwert, die Verbreitung von Malware, einschließlich Ransomware, zu erkennen und zu verhindern.

Malware kann TLS in allen Hauptkommunikationsmodi verwenden, unabhängig davon, ob gestohlene Daten aus dem gefährdeten Netzwerk hochgeladen, mit dem C2-Server kommuniziert oder zusätzliche Nutzdaten auf das System des Opfers heruntergeladen werden.

Sophos gab an, dass ein großer Teil des Problems, dass TLS in Malware häufiger auftritt, darin besteht, dass Malware-Betreiber immer mehr legitime web- und cloudbasierte Plattformen verwenden, die von Natur aus mit TLS gesichert sind. Cloud-Lösungen und -Dienste werden häufig sowohl zum Auslagern gestohlener Daten als auch zum Hosten bösartiger Nutzdaten verwendet.

Das Sicherheitsteam von Sophos gibt weiter an, dass in den letzten drei Monaten mehr als die Hälfte aller C2-Server TLS und HTTPS verwendet haben, um mit den zugehörigen schädlichen Nutzdaten zu kommunizieren. Ein Beispiel für Malware, die legitime Dienste für ihre Zwecke verwendet, ist eine besondere Belastung der BitLocker-Ransomware, die ihre schädlichen Skripts aus einer in Google Text & Tabellen gehosteten Tabelle heruntergeladen hat und dabei erneut TLS-Verschlüsselung verwendet.

Dies ist nur ein anschauliches Beispiel von Sophos. Das Unternehmen veröffentlichte auch Statistiken zur Verwendung von Malware-Callhome-Zielen. Unter den großen, legitimen Hosting-Lösungen liegt Google Cloud mit einem Anteil von 9% an der Spitze, gefolgt vom indischen Telekommunikationsanbieter BSNL.

April 22, 2021
Lade...

Cyclonis Backup Details & Terms

Mit dem Free Basic Cyclonis Backup-Plan erhalten Sie 2 GB Cloud-Speicherplatz mit voller Funktionalität! Keine Kreditkarte benötigt. Benötigen Sie mehr Stauraum? Kaufen Sie noch heute einen größeren Cyclonis Backup-Plan! Um mehr über unsere Richtlinien und Preise zu erfahren, sehen SieNutzungsbedingungen, Datenschutzrichtlinie, Rabattbedingungen und Kaufseite. Wenn Sie die App deinstallieren möchten, besuchen Sie bitte die Seite mit den Deinstallationsanweisungen.

Cyclonis Password Manager Details & Terms

KOSTENLOSE Testversion: 30-tägiges einmaliges Angebot! Für die kostenlose Testversion ist keine Kreditkarte erforderlich. Volle Funktionalität für die Dauer der kostenlosen Testversion. (Die volle Funktionalität nach der kostenlosen Testversion erfordert den Kauf eines Abonnements.) Um mehr über unsere Richtlinien und Preise zu erfahren, sehen Sie EULA, Datenschutzrichtlinie, Rabattbedingungen und Kaufseite. Wenn Sie die App deinstallieren möchten, besuchen Sie bitte die Seite mit den Deinstallationsanweisungen.