Skadelig programvare bruker i økende grad TLS for å forvirre kommunikasjon
Sikkerhetseksperter som jobber med Sophos publiserte nylig en rapport om skiftende trender innen skadelig programvare og løsepenger. Publikasjonen viser at det har vært en veldig betydelig økning i skadelig programvare som bruker TLS, eller transportsjiktsikkerhet, for å forvirre kommunikasjon og unngå oppdagelse.
TLS refererer til krypteringsprotokollen som håndterer kommunikasjon i vanlig HTTPS, etterfølger til SSL eller sikker sockets-lag. TLS brukes i en rekke andre applikasjoner utenfor sikker HTTP-kommunikasjon.
I følge statistikken som ble publisert av Sophos, har skadelig programvare som bruker TLS for kommunikasjon, nesten doblet, enten det betyr å motta kommandoer fra C2-serveren eller laste ned ekstra nyttelast. For ett år siden brukte rundt 24% av skadelig programvare TLS-kryptering i sin kommunikasjon, mens dette tallet har vokst til nesten det dobbelte, 46%.
Den økende adopsjonen av TLS skyldes det faktum at dette ekstra tilsløringslaget gjør det mye vanskeligere for sikkerhetsforskere å oppdage og forhindre spredning av skadelig programvare, inkludert ransomware.
Skadelig programvare kan bruke TLS i alle sine viktigste kommunikasjonsmåter, enten dette er å laste opp stjålne data fra det kompromitterte nettverket, kommunisere med C2-serveren eller laste ned ekstra nyttelast til offerets system.
Sophos uttalte at en stor del av problemet med TLS som er mer utbredt i malware, er at malwareoperatører bruker mer og mer legitime nett- og skybaserte plattformer som iboende er sikret med TLS. Skyløsninger og -tjenester brukes ofte både til å laste bort stjålne data og til å være vert for skadelige nyttelaster.
Sikkerhetsteamet på Sophos opplyser videre at over de siste tre månedene brukte mer enn halvparten av alle C2-servere TLS og HTTPS for å kommunisere med tilhørende ondsinnede nyttelast. Et eksempel på skadelig programvare som bruker legitime tjenester for dets formål, er en spesiell belastning på BitLocker-løseprogrammet som lastet ned skadelige skript fra et regneark som er vert på Google Docs, og igjen bruker TLS-kryptering i prosessen.
Dette er bare et illustrerende eksempel gitt av Sophos. Selskapet publiserte også statistikk om bruk av destinasjoner for skadevarehjelp. Blant de store, legitime hosting-løsningene er Google Cloud i tet med en andel på 9%, etterfulgt av den indiske telekomleverandøren BSNL.