Kenkėjiškos programos vis dažniau naudoja TLS, kad sutrukdytų bendravimą
Su „Sophos“ dirbantys saugumo ekspertai neseniai paskelbė ataskaitą apie kenkėjiškų ir išpirkos programų keitimo tendencijas. Leidinys rodo, kad pastebimai smarkiai išaugo kenkėjiškos programos, kurios naudoja TLS arba transporto sluoksnio saugumą, kad sutrikdytų ryšį ir išvengtų aptikimo.
TLS reiškia šifravimo protokolą, kuris tvarko ryšį įprastu HTTPS, SSL perėmėju arba saugių lizdų sluoksniu. TLS naudojamas daugelyje kitų programų, nesusijusių su saugiu HTTP ryšiu.
Remiantis „Sophos“ paskelbta statistika, kenkėjiška programa, kuri naudoja TLS ryšiui, nesvarbu, ar tai reiškia, kad reikia gauti komandas iš savo C2 serverio, ar atsisiųsti papildomas naudingas apkrovas, beveik padvigubėjo. Prieš metus apie 24% kenkėjiškų programų ryšiuose naudojosi TLS šifravimu, o šis skaičius išaugo beveik dvigubai, ty 46%.
Vis didėjantis TLS yra dėl to, kad dėl šio papildomo apgaulės sluoksnio saugumo tyrėjams daug sunkiau nustatyti ir užkirsti kelią kenkėjiškų programų, įskaitant išpirkos kenkėjiškas programas.
Kenkėjiška programa gali naudoti TLS visais pagrindiniais savo ryšio būdais, nesvarbu, ar tai yra pavogtų duomenų įkėlimas iš pažeisto tinklo, bendravimas su jo C2 serveriu ar papildomų naudingų krovinių atsisiuntimas į aukos sistemą.
„Sophos“ pareiškė, kad didelė dalis problemų, susijusių su TLS paplitimu kenkėjiškose programose, yra ta, kad kenkėjiškų programų operatoriai naudoja vis daugiau teisėtų interneto ir debesų platformų, kurios yra savaime apsaugotos naudojant TLS. Debesijos sprendimai ir paslaugos dažniausiai naudojami tiek iškraunant pavogtus duomenis, tiek talpinant kenkėjiškas naudingas apkrovas.
„Sophos“ saugos komanda taip pat teigia, kad per pastaruosius tris mėnesius daugiau nei pusė visų C2 serverių naudojo TLS ir HTTPS ryšiui su susijusiais kenksmingais kroviniais. Kenkėjiškų programų, naudojančių teisėtas paslaugas savo tikslams, pavyzdys yra tam tikra išpirkos programa „BitLocker“, kuri kenkėjiškus scenarijus atsisiuntė iš „Google“ dokumentuose priglobtos skaičiuoklės, šiame procese dar kartą naudodama TLS šifravimą.
Tai tik iliustratyvus „Sophos“ pateiktas pavyzdys. Bendrovė taip pat paskelbė kenkėjiškų programų skambučių paskirties vietų statistiką. Tarp didelių teisėtų prieglobos sprendimų pirmauja „Google Cloud“ su 9% dalimi, antroje vietoje yra Indijos telekomunikacijų tiekėjas BSNL.