マルウェアはますますTLSを使用して通信を難読化しています

ソフォスと協力しているセキュリティ専門家は最近、マルウェアとランサムウェアの変化する傾向に関するレポートを公開しました。この出版物は、TLSまたはトランスポート層セキュリティを使用して通信を難読化し、検出を回避するマルウェアが非常に急増していることを示しています。

TLSは、通常のHTTPS、SSLの後継、またはセキュアソケットレイヤーでの通信を処理する暗号化プロトコルを指します。 TLSは、安全なHTTP通信以外の多くのアプリケーションで使用されます。

ソフォスが公開した統計によると、通信にTLSを使用するマルウェアは、C2サーバーからコマンドを受信することを意味するか、追加のペイロードをダウンロードすることを意味するかにかかわらず、ほぼ2倍になりました。 1年前、マルウェアの約24％が通信にTLS暗号化を利用していましたが、この数字はそのほぼ2倍の46％にまで成長しました。

TLSの採用が増えているのは、この余分な難読化の層により、セキュリティ研究者がランサムウェアを含むマルウェアの拡散を検出して防止することが非常に困難になっているためです。

マルウェアは、侵害されたネットワークから盗まれたデータをアップロードする、C2サーバーと通信する、被害者のシステムに追加のペイロードをダウンロードするなど、すべての主要な通信モードでTLSを利用できます。

ソフォスは、マルウェアでTLSがより一般的になっている問題の大部分は、マルウェアのオペレーターがTLSで本質的に保護されている正当なWebおよびクラウドベースのプラットフォームをますます使用していることであると述べました。クラウドソリューションとサービスは、盗まれたデータのオフロードと悪意のあるペイロードのホスティングの両方に一般的に使用されます。

ソフォスのセキュリティチームはさらに、過去3か月間に、すべてのC2サーバーの半数以上がTLSとHTTPSを使用して関連する悪意のあるペイロードと通信したと述べています。正当なサービスをその目的で使用するマルウェアの例は、Googleドキュメントでホストされているスプレッドシートから悪意のあるスクリプトをダウンロードしたBitLockerランサムウェアの特定の系統であり、このプロセスで再びTLS暗号化を使用します。

これは、ソフォスが提供する例示的な例にすぎません。同社はまた、マルウェアのコールホーム宛先の使用に関する統計を公開しました。大規模で合法的なホスティングソリューションの中で、Google Cloudが9％のシェアでリードしており、インドの通信プロバイダーBSNLがそれに続きます。