Articles

Por qué aumentan los ataques SSL/TLS

Posted by admin

A medida que las empresas mejoran en el cifrado del tráfico de red para proteger los datos de posibles ataques o exposición, los atacantes en línea también están intensificando su juego de Capa de Sockets Seguros/Seguridad de la Capa de Transporte (SSL/TLS) para ocultar sus actividades maliciosas. En el primer semestre de 2017, un promedio del 60 por ciento de las transacciones observadas por la compañía de seguridad Zscaler se realizaron a través de SSL/TLS, dijeron los investigadores de la compañía. El crecimiento en el uso de SSL/TLS incluye actividades legítimas y maliciosas, ya que los delincuentes confían en certificados SSL válidos para distribuir su contenido. Los investigadores vieron un promedio de 300 visitas por día para exploits web que incluían SSL como parte de la cadena de infección.

«Las familias de Crimeware están utilizando cada vez más SSL/TLS», dijo Deepen Desai, director sénior de investigación de seguridad de Zscaler. El contenido malicioso que se entrega a través de SSL / TLS se ha más que duplicado en los últimos seis meses, dijo Zscaler. La compañía bloqueó un promedio de 8.4 millones de actividades maliciosas basadas en SSL / TLS al día en la primera mitad de 2017 para sus clientes en su plataforma Zscaler cloud. De los bloqueados, un promedio de 600.000 por día eran amenazas avanzadas. Los investigadores de Zscaler han visto 12,000 intentos de phishing entregados a través de SSL/TLS por día en la primera mitad de 2017, un aumento del 400 por ciento con respecto a 2016.

Estas cifras cuentan solo una parte de la historia de SSL/TLS, ya que Zscaler no incluyó otros tipos de ataques, como campañas de adware que usan SSL/TLS para entregar sus cargas útiles, en esta investigación.

Cuando la mayor parte del tráfico de red empresarial está cifrado, tiene sentido desde la perspectiva criminal cifrar también sus actividades, ya que sería más difícil para los administradores de TI poder distinguir entre el tráfico malo y el bueno. Las familias de malware utilizan cada vez más SSL para cifrar las comunicaciones entre el punto final comprometido y los sistemas de comando y control para ocultar instrucciones, cargas útiles y otras piezas de información que se envían. El número de cargas útiles enviadas a través de conexiones cifradas se duplicó en los primeros seis meses de 2017 en comparación con todo 2016, dijo Desai.

Alrededor del 60 por ciento de las cargas útiles maliciosas que utilizan SSL/TLS para la actividad de comando y control (C&C) provenían de familias de troyanos bancarios como Zbot, Vawtrak y Trickbot, dijo Zscaler. Otro 12 por ciento fueron infostealer familias de Troyanos como Fareit y Papra. Una cuarta parte de las cargas útiles provenían de familias de ransomware.

Los equipos de phishing también utilizan SSL / TLS, ya que alojan sus páginas maliciosas en sitios con certificados legítimos. Los usuarios piensan que están en un sitio válido, ya que ven la palabra «seguro» o el icono de candado en el navegador, sin darse cuenta de que esos indicadores solo significan que el certificado en sí es válido y la conexión está encriptada. No se hacen promesas sobre la legitimidad del sitio, o incluso de que es lo que dice ser. La única forma en que un usuario puede saber que el sitio es propiedad del propietario correcto es mirar el certificado real. Algunos navegadores lo hacen más fácil al mostrar el nombre del propietario del dominio en el navegador, en lugar de solo la palabra «Seguro» o el candado.

Microsoft, LinkedIn y Adobe se encuentran entre las marcas más falsificadas. Desai dijo que ha visto sitios de phishing como nnicrosoft.com (donde las dos ‘n’ una al lado de la otra parecen una ‘m’). Otros sitios que están siendo abusados por equipos de phishing incluyen Vendedor de Amazon, Google Drive, Outlook y DocuSign, dijo Desai.

No culpes a las entidades de certificación (CA) gratuitas, como Let’s Encrypt, por el aumento de ataques con SSL/TLS. Si bien estos servicios han hecho que sea mucho más fácil y rápido para los propietarios de sitios obtener certificados SSL, no son los únicos que proporcionan por error certificados válidos a los delincuentes. Desai dijo que su equipo también vio certificados de CAS establecidos. Si bien en algunos casos, las CA emitieron certificados cuando no deberían, en la mayoría de los casos, los certificados se emitieron correctamente. Los delincuentes habían secuestrado y abusado de los sitios legítimos, generalmente conocidos servicios en la nube como Office 365, SharePoint, Google Drive y Dropbox, para alojar la carga útil y recopilar los datos filtrados.

Por ejemplo, Desai describió cómo el grupo de ataque CozyBear usaba scripts de PowerShell para montar una partición OneDrive oculta en una máquina comprometida y copiar todos los datos en la unidad oculta. Toda la actividad entre la máquina y el servicio, en este caso OneDrive, está encriptada de forma predeterminada, y como OneDrive se usa con frecuencia por razones comerciales, los departamentos de TI no siempre notan los ataques. Los atacantes no necesitan obtener un certificado de forma fraudulenta, ya que OneDrive proporciona ese nivel de protección para todos los usuarios.

El cifrado no es opcional para las empresas, y por eso, también deben pensar en la inspección SSL. Esto puede ser proporcionado por una plataforma basada en la nube, como lo que ofrece Zscaler, o por dispositivos que se implementan en línea, como los ofrecidos por Microsoft, Arbor Networks y Check Point (por nombrar algunos). Los usuarios necesitan la seguridad de que su información no será interceptada por partes no autorizadas cuando están en línea, pero las empresas necesitan una forma de saber qué tráfico cifrado contiene datos de usuario y cuáles llevan instrucciones maliciosas. A medida que más ataques dependen de SSL/TLS para evitar el escrutinio de las herramientas de monitoreo de red tradicionales, las empresas deben tomar medidas para asegurarse de que todos los datos estén protegidos y que el tráfico malo no pase a escondidas por sus defensas.

Related Post

Leave A Comment