A rosszindulatú programok egyre inkább a TLS-t használják a kommunikáció elfedésére
A Sophosszal dolgozó biztonsági szakértők nemrégiben jelentést tettek közzé a rosszindulatú programok és a ransomware változó trendjeiről. A kiadványból kiderül, hogy a TLS-t vagy a szállítási réteg biztonságát használó rosszindulatú programok igen jelentős mértékben megnövekedtek a kommunikáció elhomályosítása és az észlelés elkerülése érdekében.
A TLS arra a titkosítási protokollra utal, amely a kommunikációt szokásos HTTPS-ben, az SSL utódja vagy a biztonságos socket rétegben kezeli. A TLS-t számos más alkalmazásban használják a biztonságos HTTP-kommunikáción kívül.
A Sophos által közzétett statisztikák szerint a TLS-t kommunikációra használó rosszindulatú programok, legyen szó parancsok fogadásáról a C2 szerverről vagy további hasznos terhelések letöltéséről, csaknem megduplázódott. Egy évvel ezelőtt a rosszindulatú programok mintegy 24% -a használta a TLS titkosítást kommunikációjában, miközben ez a szám ennek a duplájára, 46% -ra nőtt.
A TLS növekvő mértékű elfogadása annak a ténynek köszönhető, hogy ez az extra homályossági réteg sokkal nehezebbé teszi a biztonsági kutatók számára a rosszindulatú programok, köztük a ransomware felderítését és megakadályozását.
A rosszindulatú programok a TLS-t minden fő kommunikációs módjában igénybe vehetik, legyen szó ellopott adatok feltöltéséről a veszélyeztetett hálózatról, kommunikációról C2 szerverével vagy további hasznos terhelések letöltéséről az áldozat rendszerébe.
A Sophos kijelentette, hogy a TLS problémájának nagy része a malware-ekben elterjedtebb, hogy a rosszindulatú program-üzemeltetők egyre több legitim webes és felhőalapú platformot használnak, amelyeket eredendően a TLS biztosít. A felhőalapú megoldásokat és szolgáltatásokat általában használják mind az ellopott adatok kitöltésére, mind a rosszindulatú hasznos terhek tárolására.
A Sophos biztonsági csapata azt állítja továbbá, hogy az elmúlt három hónapban az összes C2-kiszolgáló több mint fele TLS-t és HTTPS-t használt a kommunikációhoz a hozzájuk kapcsolódó rosszindulatú terhelésekkel. A legális szolgáltatásokat a céljaira használó rosszindulatú programok egyik példája a BitLocker ransomware sajátos törzse, amely rosszindulatú szkriptjeit a Google Docs-ban tárolt táblázatból töltötte le, a folyamat során ismét TLS-titkosítást használva.
Ez csak szemléltető példa, amelyet a Sophos szolgáltatott. A vállalat statisztikákat is közzétett a rosszindulatú programok callhome célpontjainak használatáról. A nagy, legitim tárhelymegoldások közül a Google Cloud áll az élen 9% -os részesedéssel, amelyet az indiai telekommunikációs szolgáltató, a BSNL követ.