Articles

Miksi SSL/TLS-hyökkäykset ovat kasvussa

Posted by admin

kun yritykset oppivat paremmin salaamaan verkkoliikennettä suojellakseen tietoja mahdollisilta hyökkäyksiltä tai altistumiselta, verkkohyökkääjät tehostavat myös Secure Sockets Layer/Transport Layer Security (SSL / TLS) – peliään piilottaakseen haittaohjelmansa. Vuoden 2017 ensimmäisellä puoliskolla keskimäärin 60 prosenttia tietoturvayhtiö Zscalerin havaitsemista liiketoimista on ollut SSL/TLS: n yläpuolella, yhtiön tutkijat sanoivat. SSL/TLS-käytön kasvu sisältää sekä laillisia että haitallisia toimintoja, koska rikolliset käyttävät voimassa olevia SSL-varmenteita sisällön jakamiseen. Tutkijat näkivät keskimäärin 300 osumaa päivässä web-hyväksikäytöille, jotka sisälsivät SSL: n osana tartuntaketjua.

”Crimeware-perheet käyttävät yhä enemmän SSL/TLS: ää”, sanoi Zscalerin tietoturvatutkimuksen vanhempi johtaja deepe Desai. Haitallinen sisältö toimitetaan SSL / TLS on yli kaksinkertaistunut viimeisen kuuden kuukauden aikana, Zscaler sanoi. Yhtiö esti keskimäärin 8.4 miljoonaa SSL/TLS-pohjaista haitallista toimintaa päivässä vuoden 2017 ensimmäisellä puoliskolla asiakkailleen sen Zscaler cloud-alustalla. Estetyistä keskimäärin 600 000 päivässä oli pitkälle edenneitä uhkia. Zscaler tutkijat ovat nähneet 12,000 phishing yritykset toimitetaan SSL / TLS päivässä ensimmäisellä puoliskolla 2017, 400 prosenttia enemmän kuin 2016.

nämä luvut kertovat vain osan SSL/TLS: n tarinasta, sillä Zscaler ei sisällyttänyt tähän tutkimukseen muunlaisia hyökkäyksiä, kuten SSL/TLS: ää käyttäviä mainosohjelmakampanjoita hyötykuormiensa toimittamiseen.

kun suurin osa yritysten verkkoliikenteestä on salattu, on rikollisen näkökulmasta järkevää salata myös niiden toiminta, koska IT-ylläpitäjien olisi vaikeampi erottaa huonoa ja hyvää liikennettä toisistaan. Haittaohjelmistoperheet käyttävät yhä useammin SSL-salausta vaarantuneen päätepisteen ja komento-ja ohjausjärjestelmien välisen viestinnän salaamiseen ohjeiden, hyötykuormien ja muiden lähetettävien tietojen piilottamiseksi. Salattujen yhteyksien kautta lähetettävien hyötykuormien määrä kaksinkertaistui vuoden 2017 kuuden ensimmäisen kuukauden aikana verrattuna koko vuoteen 2016, sanoi Desai.

noin 60 prosenttia haitallisista hyötykuormista, jotka käyttävät SSL/TLS: ää komentoon ja hallintaan (C&C), tuli pankkitroijalaisperheistä, kuten Zbot, Vawtrak ja Trickbot, Zscaler sanoi. Toiset 12 prosenttia olivat infostealer troijalaisia perheitä, kuten Fareit ja Papra. Hyötykuormista neljännes tuli kiristyshaittaperheiltä.

Tietojenkalasteluryhmät käyttävät myös SSL/TLS: ää, koska ne ylläpitävät haitallisia sivujaan sivustoilla, joilla on lailliset varmenteet. Käyttäjät luulevat olevansa kelvollisella sivustolla, koska he näkevät selaimessa sanan ”turvallinen” tai riippulukko-ikonin ymmärtämättä, että nämä indikaattorit tarkoittavat vain sitä, että itse varmenne on voimassa ja yhteys on salattu. Sivuston laillisuudesta tai edes siitä, että se on sitä, mitä se väittää olevansa, ei ole luvattu mitään. Ainoa tapa, jolla käyttäjä voi kertoa, että sivusto on oikeasti oikean omistajan omistuksessa, on katsoa varsinaista varmennetta. Jotkut selaimet helpottavat näyttämällä selaimessa verkkotunnuksen omistajan nimen pelkän ”Secure” – sanan tai riippulukon sijaan.

Microsoft, LinkedIn ja Adobe lukeutuvat yleisimmin huijattuihin brändeihin. Desai sanoi nähneensä tietojenkalastelusivustoja, kuten nnicrosoft.com (jossa kaksi ” n ”vierekkäin näyttää ”m”). Muita sivustoja, joita tietojenkalasteluryhmät käyttävät väärin, ovat Amazon-Myyjä, Google Drive, Outlook ja DocuSign, Desai sanoi.

älä syytä vapaita varmenneviranomaisia (CAS), kuten Let ’ s Encrypt, SSL/TLS-järjestelmää käyttävien hyökkäysten lisääntymisestä. Vaikka nämä palvelut ovat helpottaneet ja nopeuttaneet sivustojen omistajien SSL-varmenteiden hankkimista, ne eivät ole ainoita, jotka virheellisesti tarjoavat rikollisille voimassa olevia varmenteita. Desain mukaan hänen tiiminsä näki todistuksia myös vakiintuneelta CAs: ltä. Vaikka joissakin tapauksissa CAs antoi varmenteita silloin, kun niiden ei olisi pitänyt, useimmissa tapauksissa varmenteet annettiin oikein. Rikolliset olivat kaapanneet ja väärinkäyttäneet laillisia sivustoja-tyypillisesti tunnettuja pilvipalveluita kuten Office 365, SharePoint, Google Drive ja Dropbox—isännöidäkseen hyötykuormaa ja kerätäkseen poistettuja tietoja.

esimerkiksi Desai kuvaili, kuinka CozyBear-hyökkäysryhmä käytti PowerShell-skriptejä asentaakseen piilotetun OneDrive-osion vaarantuneeseen koneeseen ja kopioidakseen kaikki tiedot piilotetulle asemalle. Kaikki toiminta koneen ja palvelun, tässä tapauksessa OneDriven, välillä on oletusarvoisesti salattu, ja koska onedriveä käytetään usein liiketoiminnallisista syistä, IT-osastot eivät aina huomaa hyökkäyksiä. Hyökkääjien ei tarvitse vilpillisesti hankkia varmennetta, sillä OneDrive tarjoaa tämän tason suojan kaikille käyttäjille.

salaus ei ole yrityksille valinnainen, minkä vuoksi niiden on myös harkittava SSL-tarkastusta. Tämä voidaan tarjota pilvipohjainen alusta, kuten mitä Zscaler tarjoaa, tai laitteet, jotka on otettu käyttöön inline, kuten Microsoftin, Arbor Networks ja Check Point (muutamia mainitaksemme). Käyttäjät tarvitsevat varmuuden siitä, että luvattomat osapuolet eivät sieppaa heidän tietojaan, kun he ovat verkossa, mutta yritykset tarvitsevat tavan kertoa, mikä salattu liikenne sisältää käyttäjän tietoja ja mitkä sisältävät haitallisia ohjeita. Koska useammat hyökkäykset perustuvat SSL / TLS: ään välttääkseen perinteisten verkon seurantatyökalujen valvonnan, yritysten on ryhdyttävä toimiin varmistaakseen, että kaikki tiedot on suojattu ja että huono liikenne ei hiiviskele heidän puolustuksensa ohi.

Related Post

Leave A Comment