Il malware utilizza sempre più TLS per offuscare la comunicazione
Gli esperti di sicurezza che lavorano con Sophos hanno recentemente pubblicato un rapporto sulle mutevoli tendenze di malware e ransomware. La pubblicazione mostra che si è verificato un aumento molto significativo del malware che utilizza TLS, o sicurezza a livello di trasporto, per offuscare la comunicazione ed evitare il rilevamento.
TLS si riferisce al protocollo di crittografia che gestisce la comunicazione in HTTPS normale, successore di SSL o Secure Sockets Layer. TLS viene utilizzato in numerose altre applicazioni al di fuori della comunicazione HTTP sicura.
Secondo le statistiche pubblicate da Sophos, il malware che utilizza TLS per la comunicazione, sia che si tratti di ricevere comandi dal suo server C2 o di scaricare payload aggiuntivi, è quasi raddoppiato. Un anno fa, circa il 24% del malware utilizzava la crittografia TLS nelle sue comunicazioni, mentre questa cifra è cresciuta fino a quasi il doppio, al 46%.
La crescente adozione di TLS è dovuta al fatto che questo ulteriore livello di offuscamento rende molto più difficile per i ricercatori di sicurezza rilevare e prevenire la diffusione di malware, compreso il ransomware.
Il malware può utilizzare TLS in tutte le sue principali modalità di comunicazione, che si tratti di caricare dati rubati dalla rete compromessa, comunicare con il suo server C2 o scaricare payload aggiuntivi sul sistema della vittima.
Sophos ha affermato che gran parte del problema con TLS che è più diffuso nel malware è che gli operatori di malware utilizzano piattaforme Web e basate su cloud sempre più legittime che sono intrinsecamente protette con TLS. Le soluzioni ei servizi cloud sono comunemente usati sia per scaricare i dati rubati sia per ospitare i payload dannosi.
Il team di sicurezza di Sophos afferma inoltre che negli ultimi tre mesi più della metà di tutti i server C2 ha utilizzato TLS e HTTPS per comunicare con i payload dannosi associati. Un esempio di malware che utilizza servizi legittimi per i suoi scopi è un particolare ceppo del ransomware BitLocker che ha scaricato i suoi script dannosi da un foglio di calcolo ospitato su Google Docs, ancora una volta utilizzando la crittografia TLS nel processo.
Questo è solo un esempio illustrativo fornito da Sophos. La società ha anche pubblicato statistiche sull'uso delle destinazioni callhome di malware. Tra le grandi e legittime soluzioni di hosting, Google Cloud è in testa con una quota del 9%, seguito dal provider di telecomunicazioni indiano BSNL.
