Articles

Pourquoi les attaques SSL/TLS sont en hausse

Posted by admin

Alors que les entreprises s’améliorent en matière de cryptage du trafic réseau pour protéger les données contre les attaques ou l’exposition potentielles, les attaquants en ligne intensifient également leur jeu de sécurité SSL/TLS (Secure Sockets Layer/ Transport Layer Security) pour cacher leurs activités malveillantes. Au premier semestre 2017, une moyenne de 60% des transactions observées par la société de sécurité Zscaler ont été supérieures à SSL / TLS, ont déclaré les chercheurs de la société. La croissance de l’utilisation de SSL / TLS inclut à la fois des activités légitimes et malveillantes, car les criminels s’appuient sur des certificats SSL valides pour distribuer leur contenu. Les chercheurs ont vu une moyenne de 300 visites par jour pour les exploits Web qui incluaient SSL dans la chaîne d’infection.

« Les familles de logiciels de crime utilisent de plus en plus SSL / TLS », a déclaré Deepen Desai, directeur principal de la recherche sur la sécurité chez Zscaler. Le contenu malveillant livré via SSL / TLS a plus que doublé au cours des six derniers mois, a déclaré Zscaler. La société a bloqué une moyenne de 8.4 millions d’activités malveillantes basées sur SSL/TLS par jour au premier semestre 2017 pour ses clients sur sa plateforme cloud Zscaler. Parmi ceux bloqués, en moyenne 600 000 par jour étaient des menaces avancées. Les chercheurs de Zscaler ont vu 12 000 tentatives de phishing livrées par SSL / TLS par jour au premier semestre de 2017, soit une augmentation de 400% par rapport à 2016.

Ces chiffres ne racontent qu’une partie de l’histoire SSL / TLS, car Zscaler n’a pas inclus d’autres types d’attaques, telles que les campagnes publicitaires utilisant SSL / TLS pour livrer leurs charges utiles, dans cette recherche.

Lorsque la majeure partie du trafic réseau de l’entreprise est chiffrée, il est logique du point de vue criminel de chiffrer également leurs activités car il serait plus difficile pour les administrateurs informatiques de faire la différence entre le mauvais et le bon trafic. Les familles de logiciels malveillants utilisent de plus en plus SSL pour crypter les communications entre le point de terminaison compromis et les systèmes de commande et de contrôle afin de masquer les instructions, les charges utiles et d’autres informations envoyées. Le nombre de charges utiles envoyées via des connexions cryptées a doublé au cours des six premiers mois de 2017 par rapport à l’ensemble de 2016, a déclaré Desai.

Environ 60% des charges utiles malveillantes utilisant SSL/ TLS pour l’activité de commande et de contrôle (C & C) provenaient de familles de chevaux de Troie bancaires telles que Zbot, Vawtrak et Trickbot, a déclaré Zscaler. Un autre 12 pour cent étaient des familles de chevaux de Troie infostealer telles que Fareit et Papra. Un quart des charges utiles provenaient de familles de ransomwares.

Les équipes de phishing utilisent également SSL/TLS, car elles hébergent leurs pages malveillantes sur des sites dotés de certificats légitimes. Les utilisateurs pensent qu’ils sont sur un site valide, car ils voient le mot « sécurisé » ou l’icône de cadenas dans le navigateur, ne réalisant pas ces indicateurs signifie simplement que le certificat lui-même est valide et que la connexion est cryptée. Il n’y a aucune promesse faite sur la légitimité du site, ni même sur le fait qu’il est ce qu’il prétend être. La seule façon pour un utilisateur de dire que le site appartient réellement au propriétaire correct est de regarder le certificat réel. Certains navigateurs facilitent la tâche en affichant le nom du propriétaire du domaine dans le navigateur, au lieu du mot  » Sécurisé  » ou du cadenas.

Microsoft, LinkedIn et Adobe figurent parmi les marques les plus souvent usurpées. Desai a déclaré avoir vu des sites de phishing tels que nnicrosoft.com (où les deux « n » l’un à côté de l’autre ressemblent à un « m »). D’autres sites abusés par les équipes de phishing incluent Amazon Seller, Google Drive, Outlook et DocuSign, a déclaré Desai.

Ne blâmez pas les autorités de certification libres (CAS) telles que Let’s Encrypt pour la hausse des attaques utilisant SSL/TLS. Bien que ces services aient rendu l’obtention de certificats SSL beaucoup plus facile et plus rapide pour les propriétaires de sites, ils ne sont pas les seuls à fournir par erreur aux criminels des certificats valides. Desai a déclaré que son équipe avait également vu des certificats de CAS établis. Alors que dans certains cas, les autorités de certification délivraient des certificats alors qu’elles n’auraient pas dû en avoir, dans la plupart des cas, les certificats étaient correctement délivrés. Les criminels avaient détourné et abusé des sites légitimes – généralement des services cloud bien connus tels qu’Office 365, SharePoint, Google Drive et Dropbox — pour héberger la charge utile et collecter les données exfiltrées.

Par exemple, Desai a décrit comment le groupe d’attaque CozyBear utilisait des scripts PowerShell pour monter une partition OneDrive cachée sur une machine compromise et copier toutes les données sur le lecteur caché. Toutes les activités entre la machine et le service, dans ce cas OneDrive, sont cryptées par défaut, et comme OneDrive est fréquemment utilisé pour des raisons commerciales, les services informatiques ne remarquent pas toujours les attaques. Les attaquants n’ont pas besoin d’obtenir frauduleusement un certificat, car OneDrive offre ce niveau de protection à tous les utilisateurs.

Le cryptage n’est pas facultatif pour les entreprises, et pour cette raison, elles doivent également penser à l’inspection SSL. Cela peut être fourni par une plate-forme basée sur le cloud, telle que celle proposée par Zscaler, ou par des appliances déployées en ligne, telles que celles proposées par Microsoft, Arbor Networks et Check Point (pour n’en nommer que quelques-unes). Les utilisateurs ont besoin de l’assurance que leurs informations ne seront pas interceptées par des parties non autorisées lorsqu’elles sont en ligne, mais les entreprises ont besoin d’un moyen de savoir quel trafic crypté contient des données utilisateur et lequel contient des instructions malveillantes. Comme de plus en plus d’attaques reposent sur SSL / TLS pour éviter l’examen par les outils de surveillance réseau traditionnels, les entreprises doivent prendre des mesures pour s’assurer que toutes les données sont protégées et que le mauvais trafic ne dépasse pas leurs défenses.

Related Post

Leave A Comment