Articles

Warum SSL / TLS-Angriffe auf dem Vormarsch sind

Posted by admin

Da Unternehmen den Netzwerkverkehr immer besser verschlüsseln, um Daten vor potenziellen Angriffen oder Gefährdungen zu schützen, verstärken Online-Angreifer auch ihr SSL / TLS-Spiel (Secure Sockets Layer / Transport Layer Security), um ihre böswilligen Aktivitäten zu verbergen. Im ersten Halbjahr 2017 wurden durchschnittlich 60 Prozent der von der Sicherheitsfirma Zscaler beobachteten Transaktionen über SSL / TLS abgewickelt, sagten die Forscher des Unternehmens. Die Zunahme der SSL / TLS-Nutzung umfasst sowohl legitime als auch böswillige Aktivitäten, da Kriminelle auf gültige SSL-Zertifikate angewiesen sind, um ihre Inhalte zu verbreiten. Die Forscher sahen durchschnittlich 300 Treffer pro Tag für Web-Exploits, die SSL als Teil der Infektionskette enthielten.

„Crimeware-Familien verwenden zunehmend SSL/TLS“, sagte David Desai, Senior Director of Security Research bei Zscaler. Schädliche Inhalte, die über SSL / TLS bereitgestellt werden, haben sich in den letzten sechs Monaten mehr als verdoppelt, sagte Zscaler. Das Unternehmen blockierte durchschnittlich 8.4 Millionen SSL / TLS-basierte bösartige Aktivitäten pro Tag im ersten Halbjahr 2017 für seine Kunden auf seiner Zscaler Cloud-Plattform. Von den Blockierten waren durchschnittlich 600.000 pro Tag fortgeschrittene Bedrohungen. Zscaler-Forscher haben im ersten Halbjahr 2017 12.000 Phishing-Versuche pro Tag über SSL / TLS gesehen, ein Anstieg von 400 Prozent gegenüber 2016.

Diese Zahlen erzählen nur einen Teil der SSL / TLS-Geschichte, da Zscaler andere Arten von Angriffen, wie z. B. Adware-Kampagnen, die SSL / TLS zur Bereitstellung ihrer Payloads verwenden, in diese Untersuchung nicht einbezogen hat.

Wenn der Großteil des Unternehmensnetzwerkverkehrs verschlüsselt ist, ist es aus krimineller Sicht sinnvoll, auch ihre Aktivitäten zu verschlüsseln, da es für IT-Administratoren schwieriger wäre, den Unterschied zwischen schlechtem und gutem Datenverkehr zu erkennen. Malware-Familien verwenden zunehmend SSL, um die Kommunikation zwischen dem kompromittierten Endpunkt und den Befehls- und Steuerungssystemen zu verschlüsseln, um Anweisungen, Nutzlasten und andere gesendete Informationen zu verbergen. Die Anzahl der Nutzlasten, die über verschlüsselte Verbindungen gesendet werden, hat sich in den ersten sechs Monaten von 2017 im Vergleich zu 2016 verdoppelt, sagte Desai.

Etwa 60 Prozent der bösartigen Nutzlasten, die SSL / TLS für Befehls- und Steuerungszwecke (C & C) verwenden, stammten von Banking-Trojanerfamilien wie Zbot, Vawtrak und Trickbot, sagte Zscaler. Weitere 12 Prozent waren Infostealer-Trojaner-Familien wie Fareit und Papra. Ein Viertel der Nutzlasten stammte aus Ransomware-Familien.

Phishing-Teams verwenden auch SSL / TLS, da sie ihre schädlichen Seiten auf Websites mit legitimen Zertifikaten hosten. Benutzer glauben, sich auf einer gültigen Site zu befinden, da sie das Wort „sicher“ oder das Vorhängeschlosssymbol im Browser sehen, ohne zu wissen, dass diese Indikatoren nur bedeuten, dass das Zertifikat selbst gültig und die Verbindung verschlüsselt ist. Es werden keine Versprechungen über die Legitimität der Website gemacht, oder sogar, dass es das ist, was es zu sein behauptet. Die einzige Möglichkeit, wie ein Benutzer feststellen kann, dass die Site tatsächlich dem richtigen Eigentümer gehört, besteht darin, sich das tatsächliche Zertifikat anzusehen. Einige Browser machen es einfacher, indem sie den Namen des Domaininhabers im Browser anzeigen, anstatt nur das Wort „Sicher“ oder das Vorhängeschloss.

Microsoft, LinkedIn und Adobe gehören zu den am häufigsten gefälschten Marken. Desai sagte, er habe Phishing-Sites gesehen wie nnicrosoft.com (wobei die beiden ’n‘ nebeneinander wie ein ‚m‘ aussehen). Andere Websites, die von Phishing-Crews missbraucht werden, sind Amazon Seller, Google Drive, Outlook und DocuSign, sagte Desai.

Machen Sie freie Zertifizierungsstellen (CAs) wie Let’s Encrypt nicht für die Zunahme von Angriffen mit SSL / TLS verantwortlich. Während diese Dienste es für Websitebesitzer viel einfacher und schneller gemacht haben, SSL-Zertifikate zu erhalten, sind sie nicht die einzigen, die Kriminellen fälschlicherweise gültige Zertifikate zur Verfügung stellen. Desai sagte, sein Team habe auch Zertifikate von etablierten CAs gesehen. Während die Zertifizierungsstellen in einigen Fällen Zertifikate ausstellten, wenn sie dies nicht hätten tun sollen, wurden die Zertifikate in den meisten Fällen korrekt ausgestellt. Die Kriminellen hatten die legitimen Websites — in der Regel bekannte Cloud-Dienste wie Office 365, SharePoint, Google Drive und Dropbox — entführt und missbraucht, um die Nutzlast zu hosten und die exfiltrierten Daten zu sammeln.

Desai beschrieb beispielsweise, wie die CozyBear-Angriffsgruppe PowerShell-Skripte verwendete, um eine versteckte OneDrive-Partition auf einem kompromittierten Computer zu mounten und alle Daten auf das versteckte Laufwerk zu kopieren. Alle Aktivitäten zwischen dem Computer und dem Dienst, in diesem Fall OneDrive, werden standardmäßig verschlüsselt, und da OneDrive häufig aus geschäftlichen Gründen verwendet wird, bemerken IT-Abteilungen die Angriffe nicht immer. Die Angreifer müssen nicht auf betrügerische Weise ein Zertifikat erhalten, da OneDrive dieses Schutzniveau für alle Benutzer bietet.

Verschlüsselung ist für Unternehmen nicht optional, und aus diesem Grund müssen sie auch über die SSL-Inspektion nachdenken. Dies kann durch eine cloudbasierte Plattform wie Zscaler oder durch inline bereitgestellte Appliances wie Microsoft, Arbor Networks und Check Point (um nur einige zu nennen) erfolgen. Benutzer benötigen die Gewissheit, dass ihre Informationen nicht von Unbefugten abgefangen werden, wenn sie online sind, aber Unternehmen benötigen eine Möglichkeit zu erkennen, welcher verschlüsselte Datenverkehr Benutzerdaten enthält und welche böswillige Anweisungen enthalten. Da immer mehr Angriffe auf SSL / TLS angewiesen sind, um die Überprüfung durch herkömmliche Netzwerküberwachungstools zu vermeiden, müssen Unternehmen Maßnahmen ergreifen, um sicherzustellen, dass alle Daten geschützt sind und dass sich kein schlechter Datenverkehr an ihren Abwehrmechanismen vorbeischleicht.

Related Post

Leave A Comment