O malware usa cada vez mais TLS para ofuscar a comunicação
Os especialistas em segurança que trabalham com a Sophos publicaram recentemente um relatório sobre as tendências de mudança em malware e ransomware. A publicação mostra que houve um aumento muito significativo no malware que usa TLS, ou segurança da camada de transporte, para ofuscar a comunicação e evitar a detecção.
TLS refere-se ao protocolo de criptografia que lida com a comunicação em HTTPS regular, sucessor de SSL ou camada de soquetes seguros. O TLS é usado em vários outros aplicativos fora da comunicação HTTP segura.
De acordo com as estatísticas publicadas pela Sophos, o malware que usa TLS para comunicação, seja para receber comandos de seu servidor C2 ou baixar cargas adicionais, quase dobrou. Um ano atrás, cerca de 24% do malware estava usando criptografia TLS em sua comunicação, enquanto esse número cresceu para quase o dobro, em 46%.
A crescente adoção do TLS se deve ao fato de que essa camada extra de ofuscação torna muito mais difícil para os pesquisadores de segurança detectar e prevenir a propagação de malware, incluindo ransomware.
O malware pode fazer uso do TLS em todos os seus principais modos de comunicação, seja no upload de dados roubados da rede comprometida, na comunicação com seu servidor C2 ou no download de cargas adicionais para o sistema da vítima.
Sophos afirmou que uma grande parte do problema com o TLS sendo mais prevalente no malware é que os operadores de malware estão usando cada vez mais plataformas legítimas baseadas na web e na nuvem que são inerentemente protegidas com TLS. Soluções e serviços em nuvem são comumente usados para descarregar dados roubados e para hospedar cargas maliciosas.
A equipe de segurança da Sophos afirma ainda que, nos últimos três meses, mais da metade de todos os servidores C2 usaram TLS e HTTPS para se comunicar com suas cargas maliciosas associadas. Um exemplo de malware que usa serviços legítimos para seus fins é uma cepa particular do ransomware BitLocker que baixou seus scripts maliciosos de uma planilha hospedada no Google Docs, mais uma vez usando criptografia TLS no processo.
Este é apenas um exemplo ilustrativo fornecido pela Sophos. A empresa também publicou estatísticas sobre o uso de destinos de call-home de malware. Entre as grandes soluções de hospedagem legítimas, o Google Cloud está na liderança com 9% de participação, seguido pelo provedor de telecomunicações indiano BSNL.
