Złośliwe oprogramowanie coraz częściej wykorzystuje TLS do zaciemniania komunikacji
Eksperci ds. Bezpieczeństwa współpracujący z Sophos opublikowali niedawno raport na temat zmieniających się trendów w zakresie złośliwego oprogramowania i oprogramowania ransomware. Publikacja pokazuje, że nastąpił bardzo znaczący wzrost liczby złośliwych programów wykorzystujących TLS lub zabezpieczenia warstwy transportowej w celu zaciemnienia komunikacji i uniknięcia wykrycia.
TLS odnosi się do protokołu szyfrowania, który obsługuje komunikację w zwykłym HTTPS, następcy SSL lub w warstwie bezpiecznych gniazd. TLS jest używany w wielu innych aplikacjach poza bezpieczną komunikacją HTTP.
Według statystyk opublikowanych przez Sophos, liczba szkodliwych programów wykorzystujących TLS do komunikacji, niezależnie od tego, czy oznacza to otrzymywanie poleceń z serwera C2, czy pobieranie dodatkowych ładunków, prawie się podwoiła. Rok temu około 24% złośliwego oprogramowania wykorzystywało szyfrowanie TLS w swojej komunikacji, podczas gdy liczba ta wzrosła prawie dwukrotnie, do 46%.
Coraz powszechniejsze stosowanie protokołu TLS wynika z faktu, że ta dodatkowa warstwa zaciemniania znacznie utrudnia badaczom bezpieczeństwa wykrywanie i zapobieganie rozprzestrzenianiu się złośliwego oprogramowania, w tym oprogramowania ransomware.
Złośliwe oprogramowanie może wykorzystywać TLS we wszystkich głównych trybach komunikacji, niezależnie od tego, czy jest to przesyłanie skradzionych danych z zaatakowanej sieci, komunikowanie się ze swoim serwerem C2 czy pobieranie dodatkowych ładunków do systemu ofiary.
Sophos stwierdził, że duża część problemu z częstszym występowaniem TLS w złośliwym oprogramowaniu polega na tym, że operatorzy złośliwego oprogramowania używają coraz bardziej legalnych platform internetowych i chmurowych, które są z natury zabezpieczone za pomocą TLS. Rozwiązania i usługi w chmurze są powszechnie używane zarówno do usuwania skradzionych danych, jak i do hostowania złośliwych ładunków.
Zespół ds. Bezpieczeństwa w Sophos stwierdza ponadto, że w ciągu ostatnich trzech miesięcy ponad połowa wszystkich serwerów C2 korzystała z protokołów TLS i HTTPS do komunikacji z powiązanymi złośliwymi ładunkami. Przykładem złośliwego oprogramowania wykorzystującego legalne usługi do swoich celów jest szczególny szczep ransomware BitLocker, który pobierał złośliwe skrypty z arkusza kalkulacyjnego hostowanego w Dokumentach Google, ponownie wykorzystując przy tym szyfrowanie TLS.
To tylko ilustracyjny przykład dostarczony przez Sophos. Firma opublikowała również statystyki dotyczące wykorzystania destrukcyjnych miejsc docelowych callhome. Wśród dużych, legalnych rozwiązań hostingowych, Google Cloud jest liderem z 9% udziałem, a za nim plasuje się indyjski dostawca telekomunikacyjny BSNL.
