恶意软件越来越多地使用TLS来混淆通信
与Sophos合作的安全专家最近发布了一份有关恶意软件和勒索软件变化趋势的报告。该出版物显示,使用TLS或传输层安全性来混淆通信并避免检测的恶意软件激增。
TLS是指处理常规HTTPS(SSL的后继协议)或安全套接字层中的通信的加密协议。 TLS用于安全HTTP通信之外的许多其他应用程序。
根据Sophos发布的统计数据,使用TLS进行通信的恶意软件(无论是从其C2服务器接收命令还是下载其他有效负载)几乎翻了一番。一年前,大约24%的恶意软件在其通信中使用了TLS加密,而这一数字已经增长了近一倍,达到46%。
TLS越来越多的采用是由于这样一个事实,即这种额外的混淆层使安全研究人员更难检测和阻止包括勒索软件在内的恶意软件的传播。
恶意软件可以在其所有主要通信模式中使用TLS,无论这是从受感染的网络上传被盗数据,与C2服务器通信还是将其他有效负载下载到受害者的系统。
Sophos表示,TLS在恶意软件中更为普遍的问题很大一部分是,恶意软件运营商正在使用越来越多的合法Web和基于云的平台,这些平台固有地受到TLS的保护。云解决方案和服务通常用于卸载被盗数据和托管恶意有效负载。
Sophos的安全团队进一步指出,在过去三个月中,所有C2服务器中超过一半的服务器使用TLS和HTTPS与相关的恶意有效负载进行通信。一个使用合法服务用于其目的的恶意软件的例子是BitLocker勒索软件的一种特殊形式,该勒索软件从Google Docs托管的电子表格中下载了恶意脚本,并在此过程中再次使用TLS加密。
这只是Sophos提供的说明性示例。该公司还发布了有关使用恶意软件呼叫目的地的统计信息。在大型合法的托管解决方案中,Google Cloud以9%的份额领先,其次是印度电信提供商BSNL。