Articles

Hvorfor SSL / TLS-angreb er stigende

Posted by admin

da virksomheder bliver bedre til at kryptere netværkstrafik for at beskytte data mod potentielle angreb eller eksponering, øger online angribere også deres Secure Sockets Layer/Transport Layer Security (SSL/TLS) spil for at skjule deres ondsindede aktiviteter. I første halvdel af 2017 har et gennemsnit på 60 procent af transaktionerne observeret af sikkerhedsfirmaet Scaler været over SSL/TLS, siger selskabets forskere. Væksten i SSL/TLS-brug Inkluderer både legitime og ondsindede aktiviteter, da kriminelle er afhængige af gyldige SSL-certifikater for at distribuere deres indhold. Forskere så i gennemsnit 300 hits om dagen for internetudnyttelse, der omfattede SSL som en del af infektionskæden.

“Kriminalitetsfamilier bruger i stigende grad SSL/TLS,” sagde Deep Desai, senior direktør for sikkerhedsforskning hos Scaler. Ondsindet indhold, der leveres via SSL / TLS, er mere end fordoblet i de sidste seks måneder. Virksomheden blokerede i gennemsnit 8.4 millioner SSL/TLS-baserede ondsindede aktiviteter om dagen i første halvdel af 2017 for sine kunder på sin Cloud Platform. Af de blokerede var i gennemsnit 600.000 om dagen avancerede trusler. Forskere har set 12.000 phishing-forsøg leveret over SSL / TLS om dagen i første halvdel af 2017, en stigning på 400 procent fra 2016.

disse tal fortæller kun en del af SSL/TLS-historien, da Scaler ikke inkluderede andre typer angreb, f.eks.

når hovedparten af virksomhedens netværkstrafik er krypteret, giver det mening fra det kriminelle perspektiv også at kryptere deres aktiviteter, da det ville være sværere for IT-administratorer at kunne fortælle forskellen mellem dårlig og god trafik. Familier bruger i stigende grad SSL til at kryptere kommunikationen mellem det kompromitterede slutpunkt og kommando-og kontrolsystemerne for at skjule instruktioner, nyttelast og andre oplysninger, der sendes. Antallet af nyttelast, der sendes over krypterede forbindelser, fordobles i de første seks måneder af 2017 sammenlignet med hele 2016, sagde Desai.

omkring 60 procent af ondsindede nyttelast ved hjælp af SSL/TLS til kommando og kontrol (C& C) aktivitet kom fra bank trojanske familier som f.eks. Yderligere 12 procent var Infostealer trojanske familier som Fareit og Papra. En fjerdedel af nyttelastene kom fra løsepenge-familier.

Phishing-besætninger bruger også SSL/TLS, da de er vært for deres ondsindede sider på sider med legitime certifikater. Brugere tror, at de er på et gyldigt sted, da de ser ordet “sikker” eller hængelåsikonet i bro.ser, ikke at indse disse indikatorer betyder bare, at selve certifikatet er gyldigt, og forbindelsen er krypteret. Der er ingen løfter om legitimiteten af hjemmesiden, eller endda at det er, hvad det hævder at være. Den eneste måde en bruger kan fortælle sitet er faktisk ejet af den korrekte ejer er at se på den faktiske certifikat. Nogle bro.sere gør det lettere ved at vise domæneejerens navn i bro. ser, i stedet for blot ordet “sikker” eller hængelås.

Microsoft, LinkedIn og Adobe er blandt de mest almindeligt forfalskede mærker. Desai sagde, at han har set phishing-steder som nnicrosoft.com (hvor de to ‘ n ‘ved siden af hinanden ligner et ‘m’). Andre steder bliver misbrugt af phishing besætninger omfatter sælger, Google Drev, Outlook og DocuSign, Desai sagde.

bebrejd ikke gratis certifikatmyndigheder (CAs) som Let ‘ s Encrypt for stigningen i angreb ved hjælp af SSL/TLS. Selvom disse tjenester har gjort det meget lettere og hurtigere for ejere at få SSL-certifikater, er de ikke de eneste, der fejlagtigt giver kriminelle gyldige certifikater. Desai sagde, at hans hold også så certifikater fra etablerede CAs. Mens CAs i nogle tilfælde udstedte certifikater, når de ikke skulle have, i de fleste tilfælde blev certifikaterne udstedt korrekt. De kriminelle havde kapret og misbrugt de legitime sider-typisk velkendte skytjenester som Office 365, SharePoint, Google Drev og Dropboks—for at være vært for nyttelasten og indsamle de eksfiltrerede data.

Desai beskrev f.eks., hvordan Cocoybear attack-gruppen brugte scripts til at montere en skjult OneDrive-partition på en kompromitteret maskine og kopiere alle data på det skjulte drev. Al aktivitet mellem maskinen og tjenesten, i dette tilfælde OneDrive, er krypteret som standard, og da OneDrive ofte bruges af forretningsmæssige årsager, bemærker IT-afdelinger ikke altid angrebene. Angriberne behøver ikke svigagtigt at få et certifikat, da OneDrive giver det beskyttelsesniveau for alle brugere.

kryptering er ikke valgfri for virksomheder, og derfor skal de også tænke på SSL-inspektion. Dette kan leveres af en skybaseret platform, som f.eks. Brugere har brug for sikkerhed for, at deres oplysninger ikke opfanges af uautoriserede parter, når de er online, men virksomheder har brug for en måde at fortælle, hvilken krypteret trafik der indeholder brugerdata, og hvilke der bærer ondsindede instruktioner. Da flere angreb er afhængige af SSL / TLS for at undgå kontrol med traditionelle netværksovervågningsværktøjer, skal virksomheder tage skridt til at sikre, at alle data er beskyttet, og at dårlig trafik ikke sniger sig forbi deres forsvar.

Related Post

Leave A Comment