Articles

Proč jsou útoky SSL / TLS na vzestupu

Posted by admin

jak se podniky zlepšují v šifrování síťového provozu, aby chránily data před potenciálními útoky nebo expozicí, online útočníci také zvyšují svou hru Secure Sockets Layer/Transport Layer Security (SSL/TLS), aby skryli své škodlivé aktivity. V první polovině roku 2017 bylo v průměru 60 procent transakcí pozorovaných bezpečnostní společností Zscaler přes SSL/TLS, uvedli vědci společnosti. Růst využití SSL / TLS zahrnuje jak legitimní, tak škodlivé činnosti, protože zločinci se při distribuci svého obsahu spoléhají na platné certifikáty SSL. Vědci viděli v průměru 300 zásahů za den pro webové exploity, které zahrnovaly SSL jako součást infekčního řetězce.

„rodiny Crimeware stále více používají SSL / TLS,“ řekl Deepen Desai, senior ředitel bezpečnostního výzkumu ve společnosti Zscaler. Škodlivý obsah dodávaný přes SSL / TLS se za posledních šest měsíců více než zdvojnásobil, uvedl Zscaler. Společnost zablokovala v průměru 8.4 miliony škodlivých aktivit založených na SSL / TLS denně v první polovině roku 2017 pro své zákazníky na cloudové platformě Zscaler. Z těch blokovaných bylo v průměru 600 000 denně pokročilými hrozbami. Vědci Zscaler zaznamenali 12 000 pokusů o phishing doručených přes SSL / TLS denně v první polovině roku 2017, což je nárůst o 400 procent od roku 2016.

tyto údaje říkají pouze část příběhu SSL / TLS, protože Zscaler do tohoto výzkumu nezahrnul jiné typy útoků, jako jsou adwarové kampaně využívající SSL/TLS k poskytování jejich užitečného zatížení.

když je většina podnikového síťového provozu šifrována, má smysl z trestního hlediska také šifrovat jejich činnosti, protože pro IT administrátory by bylo těžší rozeznat rozdíl mezi špatným a dobrým provozem. Rodiny malwaru stále častěji používají SSL k šifrování komunikace mezi ohroženým koncovým bodem a systémy velení a řízení, aby skryly pokyny, užitečné zatížení a další odeslané informace. Počet užitečných zatížení odeslaných přes šifrovaná připojení se v prvních šesti měsících roku 2017 zdvojnásobil ve srovnání se všemi 2016, řekl Desai.

asi 60 procent škodlivých užitečných zatížení pomocí SSL/TLS pro příkaz a řízení (C&C) pocházelo z bankovních trojských rodin, jako jsou Zbot, Vawtrak a Trickbot, řekl Zscaler. Dalších 12 procent tvořily infostealerské trojské rodiny jako Fareit a Papra. Čtvrtina užitečného zatížení pocházela z rodin ransomware.

phishingové posádky také používají SSL / TLS, protože hostují své škodlivé stránky na webech s legitimními certifikáty. Uživatelé si myslí, že jsou na platném webu, protože v prohlížeči vidí slovo „bezpečné“ nebo ikonu visacího zámku, aniž by si tyto indikátory uvědomily, že samotný certifikát je platný a připojení je šifrováno. Neexistují žádné sliby o legitimitě webu, nebo dokonce, že to je to, co tvrdí, že je. Jediný způsob, jak může uživatel zjistit, že web je ve skutečnosti vlastněn správným vlastníkem, je podívat se na skutečný certifikát. Některé prohlížeče to usnadňují zobrazením jména vlastníka domény v prohlížeči, místo slova „Secure“ nebo visacího zámku.

Microsoft, LinkedIn a Adobe patří mezi nejčastěji falešné značky. Desai řekl, že viděl phishingové weby, jako jsou nnicrosoft.com (kde dva “ n „vedle sebe vypadají jako „m“). Mezi další weby zneužívané phishingovými posádkami patří Amazon Seller, Disk Google, Outlook a DocuSign, řekl Desai.

neobviňujte free certificate authorities (CAs), jako je Let ‚ s Encrypt, za nárůst útoků pomocí SSL/TLS. I když tyto služby majitelům stránek usnadnily a urychlily získání certifikátů SSL, nejsou jediní, kteří zločincům mylně poskytují platné certifikáty. Desai řekl, že jeho tým viděl i certifikáty od zavedených CAs. Zatímco v některých případech CAs vydával certifikáty, když neměly, ve většině případů byly certifikáty vydány správně. Zločinci unesli a zneužili legitimní weby-obvykle známé cloudové služby, jako jsou Office 365, SharePoint, Disk Google a Dropbox—, aby hostili užitečné zatížení a shromažďovali exfiltrovaná data.

Desai například popsal, jak skupina cozybear attack použila skripty PowerShell k připojení skrytého oddílu OneDrive na ohrožený počítač a zkopírování všech dat na skrytou jednotku. Veškerá aktivita mezi strojem a službou, v tomto případě OneDrive, je ve výchozím nastavení šifrována a protože OneDrive je často používán z obchodních důvodů, IT oddělení si útoky vždy nevšimnou. Útočníci nemusí podvodně získat certifikát, protože OneDrive poskytuje tuto úroveň ochrany všem uživatelům.

šifrování není pro podniky volitelné, a proto musí také přemýšlet o kontrole SSL. To může být poskytováno cloudovou platformou, jako je to, co nabízí Zscaler, nebo zařízeními, která jsou nasazena inline, jako jsou zařízení nabízená společností Microsoft, Arbor Networks a Check Point(abychom jmenovali alespoň některé). Uživatelé potřebují ujištění, že jejich informace nebudou zachyceny neoprávněnými stranami, když jsou online, ale podniky potřebují způsob, jak zjistit, který šifrovaný provoz obsahuje uživatelská data a který obsahuje škodlivé pokyny. Vzhledem k tomu, že více útoků se spoléhá na SSL / TLS, aby se zabránilo kontrole tradičními nástroji pro monitorování sítě, podniky musí podniknout kroky k zajištění ochrany všech dat a špatného provozu.

Related Post