Вредоносные программы все чаще используют TLS для сокрытия коммуникации

Эксперты по безопасности, работающие с Sophos, недавно опубликовали отчет о меняющихся тенденциях в области вредоносных программ и программ-вымогателей. Публикация показывает, что произошел очень значительный рост числа вредоносных программ, которые используют TLS или безопасность транспортного уровня, чтобы скрыть связь и избежать обнаружения.

TLS относится к протоколу шифрования, который обрабатывает обмен данными в обычном HTTPS, преемнике SSL или уровне защищенных сокетов. TLS используется в ряде других приложений помимо безопасного обмена данными по протоколу HTTP.

Согласно статистике, опубликованной Sophos, количество вредоносных программ, использующих TLS для связи, будь то получение команд от его сервера C2 или загрузка дополнительных полезных данных, увеличилось почти вдвое. Год назад около 24% вредоносных программ использовали шифрование TLS при обмене данными, в то время как этот показатель вырос почти вдвое, до 46%.

Все более широкое распространение TLS связано с тем, что этот дополнительный уровень обфускации значительно усложняет исследователям безопасности обнаружение и предотвращение распространения вредоносных программ, включая программы-вымогатели.

Вредоносное ПО может использовать TLS во всех своих основных способах связи, будь то загрузка украденных данных из скомпрометированной сети, связь со своим сервером C2 или загрузка дополнительных полезных данных в систему жертвы.

Sophos заявила, что большая часть проблемы того, что TLS более распространена во вредоносных программах, заключается в том, что операторы вредоносных программ используют все больше и больше легитимных веб-платформ и облачных платформ, которые по своей сути защищены с помощью TLS. Облачные решения и сервисы обычно используются как для разгрузки украденных данных, так и для размещения вредоносных полезных нагрузок.

Группа безопасности Sophos далее заявляет, что за последние три месяца более половины всех серверов C2 использовали TLS и HTTPS для связи со связанными с ними вредоносными полезными нагрузками. Примером вредоносного ПО, использующего законные службы для своих целей, является особая разновидность программы-вымогателя BitLocker, которая загружала свои вредоносные скрипты из электронной таблицы, размещенной в Документах Google, снова используя в процессе шифрование TLS.

Это просто иллюстративный пример, предоставленный Sophos. Компания также опубликовала статистику использования вредоносных программ для домашних целей. Среди крупных законных хостинговых решений лидирует Google Cloud с долей 9%, за ним следует индийский телекоммуникационный провайдер BSNL.