Το κακόβουλο λογισμικό χρησιμοποιεί όλο και περισσότερο το TLS για να αποκρύψει την επικοινωνία
Ειδικοί ασφαλείας που συνεργάστηκαν με τη Sophos δημοσίευσαν πρόσφατα μια έκθεση σχετικά με τις μεταβαλλόμενες τάσεις σε κακόβουλα προγράμματα και ransomware. Η δημοσίευση δείχνει ότι υπήρξε μια πολύ σημαντική αύξηση του κακόβουλου λογισμικού που χρησιμοποιεί TLS ή μεταφέρει ασφάλεια επιπέδου για να συγκαλύψει την επικοινωνία και να αποφύγει τον εντοπισμό.
Το TLS αναφέρεται στο πρωτόκολλο κρυπτογράφησης που χειρίζεται την επικοινωνία σε κανονικό HTTPS, διάδοχο του SSL ή στρώμα ασφαλών πριζών. Το TLS χρησιμοποιείται σε πολλές άλλες εφαρμογές εκτός της ασφαλούς επικοινωνίας HTTP.
Σύμφωνα με τα στατιστικά στοιχεία που δημοσίευσε η Sophos, το κακόβουλο λογισμικό που χρησιμοποιεί TLS για επικοινωνία, είτε αυτό σημαίνει λήψη εντολών από τον διακομιστή C2 του είτε λήψη πρόσθετων ωφέλιμων φορτίων, έχει σχεδόν διπλασιαστεί. Πριν από ένα χρόνο, περίπου το 24% του κακόβουλου λογισμικού χρησιμοποίησε την κρυπτογράφηση TLS στην επικοινωνία του, ενώ ο αριθμός αυτός έχει αυξηθεί σχεδόν διπλάσιος, στο 46%.
Η αυξανόμενη υιοθέτηση του TLS οφείλεται στο γεγονός ότι αυτό το επιπλέον στρώμα συσκότισης καθιστά πολύ πιο δύσκολο για τους ερευνητές ασφαλείας να εντοπίσουν και να αποτρέψουν την εξάπλωση κακόβουλου λογισμικού, συμπεριλαμβανομένου του ransomware.
Το κακόβουλο λογισμικό μπορεί να κάνει χρήση του TLS σε όλους τους κύριους τρόπους επικοινωνίας του, είτε πρόκειται για αποστολή κλεμμένων δεδομένων από το παραβιασμένο δίκτυο, επικοινωνία με τον διακομιστή C2 του ή λήψη πρόσθετων ωφέλιμων φορτίων στο σύστημα του θύματος.
Η Sophos δήλωσε ότι ένα μεγάλο μέρος του προβλήματος με το TLS να είναι πιο διαδεδομένο στο κακόβουλο λογισμικό είναι ότι οι χειριστές κακόβουλου λογισμικού χρησιμοποιούν όλο και πιο νόμιμες πλατφόρμες που βασίζονται σε web και cloud και είναι εγγενώς ασφαλείς με το TLS. Οι λύσεις και οι υπηρεσίες Cloud χρησιμοποιούνται συνήθως τόσο για την εκφόρτωση κλεμμένων δεδομένων όσο και για τη φιλοξενία των κακόβουλων ωφέλιμων φορτίων.
Η ομάδα ασφαλείας στη Sophos δηλώνει επίσης ότι τους τελευταίους τρεις μήνες, περισσότεροι από τους μισούς διακομιστές C2 χρησιμοποίησαν TLS και HTTPS για να επικοινωνήσουν με τα σχετικά κακόβουλα ωφέλιμα φορτία τους. Ένα παράδειγμα κακόβουλου λογισμικού που χρησιμοποιεί νόμιμες υπηρεσίες για τους σκοπούς του είναι ένα συγκεκριμένο στέλεχος του BitLocker ransomware που κατέβασε τα κακόβουλα σενάρια του από ένα υπολογιστικό φύλλο που φιλοξενείται στα Έγγραφα Google, για άλλη μια φορά χρησιμοποιώντας την κρυπτογράφηση TLS στη διαδικασία.
Αυτό είναι απλώς ένα ενδεικτικό παράδειγμα της Sophos. Η εταιρεία δημοσίευσε επίσης στατιστικά στοιχεία σχετικά με τη χρήση προορισμών κακόβουλου λογισμικού. Μεταξύ των μεγάλων, νόμιμων λύσεων φιλοξενίας, το Google Cloud είναι το προβάδισμα με μερίδιο 9%, ακολουθούμενο από τον ινδικό πάροχο τηλεπικοινωνιών BSNL.
