Articles

Miért növekszik az SSL / TLS támadások száma?

Posted by admin

mivel a vállalkozások jobban tudják titkosítani a hálózati forgalmat, hogy megvédjék az adatokat a lehetséges támadásoktól vagy expozíciótól, az online támadók fokozzák a Secure Sockets Layer/Transport Layer Security (SSL/TLS) játékukat, hogy elrejtsék rosszindulatú tevékenységeiket. 2017 első felében a Zscaler biztonsági cég által megfigyelt tranzakciók átlagosan 60 százaléka volt SSL/TLS felett-mondta a vállalat kutatói. Az SSL / TLS használatának növekedése magában foglalja mind a törvényes, mind a rosszindulatú tevékenységeket, mivel a bűnözők érvényes SSL tanúsítványokra támaszkodnak tartalmuk terjesztéséhez. A kutatók naponta átlagosan 300 találatot láttak olyan webes kihasználásokra, amelyek SSL-t tartalmaztak a fertőzési lánc részeként.

“a Crimeware családok egyre inkább SSL/TLS-t használnak” – mondta Deeper Desai, a Zscaler biztonsági kutatási igazgatója. Az SSL/TLS-en keresztül szállított rosszindulatú tartalom az elmúlt hat hónapban több mint kétszeresére nőtt-mondta Zscaler. A Társaság átlagosan blokkolt 8.4 millió SSL/TLS alapú rosszindulatú tevékenység naponta 2017 első felében az ügyfelek számára a Zscaler felhőplatformján. A blokkolt személyek közül naponta átlagosan 600 000 volt fejlett fenyegetés. A Zscaler kutatói napi 12 000 adathalász kísérletet láttak SSL/TLS-en keresztül 2017 első felében, ami 400 százalékos növekedést jelent 2016-hoz képest.

ezek az adatok csak az SSL/TLS történetének egy részét mondják el, mivel a Zscaler nem tartalmazott más típusú támadásokat, például az SSL/TLS-t használó adware kampányokat a hasznos terhek leadására ebben a kutatásban.

amikor a vállalati hálózati forgalom nagy része titkosítva van, bűnügyi szempontból is érdemes titkosítani tevékenységüket, mivel az informatikai rendszergazdák számára nehezebb lenne megkülönböztetni a rossz és a jó forgalmat. A rosszindulatú programok családjai egyre inkább SSL-t használnak a veszélyeztetett végpont és a parancs-és vezérlőrendszerek közötti kommunikáció titkosítására, hogy elrejtsék az elküldött utasításokat, hasznos terheket és egyéb információkat. A titkosított kapcsolatokon keresztül küldött hasznos terhelések száma 2017 első hat hónapjában megduplázódott az összes 2016-hoz képest-mondta Desai.

az SSL/TLS parancsot és vezérlést használó rosszindulatú terhelések körülbelül 60 százaléka (C& C) banki trójai családokból származott, mint például a Zbot, a Vawtrak és a Trickbot, mondta Zscaler. További 12 százalék olyan infostealer trójai család volt, mint a Fareit és a Papra. A hasznos terhelések egynegyede ransomware családokból származott.

az adathalász személyzet SSL/TLS-t is használ, mivel rosszindulatú oldalaikat törvényes tanúsítvánnyal rendelkező webhelyeken tárolják. A felhasználók úgy gondolják, hogy érvényes webhelyen vannak, mivel látják a “biztonságos” szót vagy a lakat ikont a böngészőben, nem veszik észre ezeket a mutatókat, csak azt jelentik, hogy maga a tanúsítvány érvényes, és a kapcsolat titkosítva van. Nincsenek ígéretek a webhely legitimitásáról, vagy akár arról, hogy ez az, aminek állítja. A felhasználó csak úgy tudja megmondani, hogy a webhely valójában a megfelelő tulajdonos tulajdonában van, ha megnézi a tényleges tanúsítványt. Egyes böngészők megkönnyítik a domain tulajdonosának nevét a böngészőben, nem csak a “biztonságos” vagy a lakat szó helyett.

a Microsoft, a LinkedIn és az Adobe a leggyakrabban hamisított márkák közé tartozik. Desai elmondta, hogy olyan adathalász webhelyeket látott, mint nnicrosoft.com (ahol a két’ n ‘egymás mellett úgy néz ki, mint egy ‘m’). Az adathalász személyzet által visszaélt egyéb webhelyek közé tartozik az Amazon Seller, a Google Drive, Az Outlook és a DocuSign, mondta Desai.

ne hibáztasd az ingyenes tanúsító hatóságokat (CAs), például a Let ‘ s Encrypt-t az SSL/TLS-t használó támadások növekedéséért. Bár ezek a szolgáltatások sokkal könnyebbé és gyorsabbá tették a webhelytulajdonosok számára az SSL-tanúsítványok beszerzését, nem csak ők tévesen adnak érvényes tanúsítványokat a bűnözőknek. Desai elmondta, hogy csapata látta a megalapozott CAs igazolásait is. Míg egyes esetekben a CAs akkor adott ki tanúsítványokat, amikor nem kellett volna, a legtöbb esetben a tanúsítványokat helyesen adták ki. A bűnözők eltérítették és visszaéltek a törvényes webhelyekkel—jellemzően olyan jól ismert felhőszolgáltatásokkal, mint az Office 365, a SharePoint, a Google Drive és a Dropbox—a hasznos adatok tárolására és a kiszűrt adatok gyűjtésére.

Desai például leírta, hogy a CozyBear támadási csoport hogyan használta a PowerShell parancsfájlokat egy rejtett OneDrive partíció csatlakoztatásához egy veszélyeztetett gépen, és az összes adatot átmásolta a rejtett meghajtóra. A gép és a szolgáltatás közötti összes tevékenység, ebben az esetben a OneDrive alapértelmezés szerint titkosítva van, és mivel a OneDrive-ot gyakran használják üzleti okokból, az informatikai részlegek nem mindig veszik észre a támadásokat. A támadóknak nem kell csalárd módon tanúsítványt szerezniük, mivel a OneDrive minden felhasználó számára biztosítja ezt a szintű védelmet.

a titkosítás nem választható a vállalkozások számára, ezért az SSL-ellenőrzésre is gondolniuk kell. Ezt biztosíthatja egy felhőalapú platform, például amit a Zscaler kínál, vagy olyan beépített készülékek, mint például a Microsoft, az Arbor Networks és a Check Point (hogy csak néhányat említsünk). A felhasználóknak biztosítaniuk kell, hogy adataikat nem fogják elfogni illetéktelen felek, amikor online vannak, de a vállalkozásoknak meg kell tudniuk mondani, hogy melyik titkosított forgalom tartalmaz felhasználói adatokat, és melyik tartalmaz rosszindulatú utasításokat. Mivel egyre több támadás támaszkodik az SSL/TLS-re, hogy elkerülje a hagyományos hálózati felügyeleti eszközök általi ellenőrzést, a vállalatoknak lépéseket kell tenniük annak biztosítására, hogy minden adat védett legyen, és hogy a rossz forgalom ne lopakodjon át a védelmükön.

Related Post

Leave A Comment