惡意軟件越來越多地使用TLS來混淆通信
與Sophos合作的安全專家最近發布了一份有關惡意軟件和勒索軟件變化趨勢的報告。該出版物顯示,使用TLS或傳輸層安全性來混淆通信並避免檢測的惡意軟件激增。
TLS是指處理常規HTTPS(SSL的後繼協議)或安全套接字層中的通信的加密協議。 TLS用於安全HTTP通信之外的許多其他應用程序。
根據Sophos發布的統計數據,使用TLS進行通信的惡意軟件(無論是從其C2服務器接收命令還是下載其他有效負載)幾乎翻了一番。一年前,大約24%的惡意軟件在其通信中使用了TLS加密,而這一數字已經增長了近一倍,達到46%。
TLS越來越多的採用是由於這樣一個事實,即這種額外的混淆層使安全研究人員更難檢測和阻止包括勒索軟件在內的惡意軟件的傳播。
惡意軟件可以在其所有主要通信模式中使用TLS,無論這是從受感染的網絡上傳被盜數據,與C2服務器通信還是將其他有效負載下載到受害者的系統。
Sophos表示,TLS在惡意軟件中更為普遍的問題很大一部分是,惡意軟件運營商正在使用越來越多的合法Web和基於雲的平台,這些平台固有地受到TLS的保護。雲解決方案和服務通常用於卸載失竊數據和託管惡意有效負載。
Sophos的安全團隊進一步指出,在過去三個月中,所有C2服務器中超過一半的服務器使用TLS和HTTPS與相關的惡意有效負載進行通信。一個使用合法服務用於其目的的惡意軟件的例子是BitLocker勒索軟件的一種特殊形式,該勒索軟件從Google Docs託管的電子表格中下載了惡意腳本,並在此過程中再次使用TLS加密。
這只是Sophos提供的說明性示例。該公司還發布了有關使用惡意軟件呼叫目的地的統計信息。在大型合法的託管解決方案中,Google Cloud以9%的份額領先,其次是印度電信提供商BSNL。