Articles

Perché gli attacchi SSL/TLS sono in aumento

Posted by admin

Mentre le aziende migliorano la crittografia del traffico di rete per proteggere i dati da potenziali attacchi o esposizioni, gli aggressori online stanno anche intensificando il loro gioco Secure Sockets Layer/Transport Layer Security (SSL/TLS) per nascondere le loro attività dannose. Nella prima metà del 2017, una media del 60 per cento delle transazioni osservate dalla società di sicurezza Zscaler sono stati oltre SSL / TLS, i ricercatori della società hanno detto. La crescita nell’utilizzo di SSL/TLS include sia attività legittime che dannose, poiché i criminali si affidano a certificati SSL validi per distribuire i loro contenuti. I ricercatori hanno visto una media di 300 visite al giorno per exploit web che includevano SSL come parte della catena di infezione.

“Le famiglie di Crimeware utilizzano sempre più SSL/TLS”, ha affermato Deepen Desai, Senior Director of security Research di Zscaler. I contenuti dannosi consegnati su SSL / TLS sono più che raddoppiati negli ultimi sei mesi, ha detto Zscaler. La società ha bloccato una media di 8.4 milioni di attività dannose basate su SSL/TLS al giorno nella prima metà di 2017 per i suoi clienti sulla sua piattaforma cloud Zscaler. Di quelli bloccati, una media di 600.000 al giorno erano minacce avanzate. I ricercatori di Zscaler hanno visto i tentativi di phishing 12,000 consegnati su SSL / TLS al giorno nella prima metà di 2017, un aumento percentuale di 400 da 2016.

Queste cifre raccontano solo una parte della storia SSL/TLS, come Zscaler non ha incluso altri tipi di attacchi, come campagne adware utilizzando SSL/TLS per fornire i loro carichi utili, in questa ricerca.

Quando la maggior parte del traffico di rete aziendale viene crittografato, ha senso dal punto di vista penale crittografare anche le loro attività poiché sarebbe più difficile per gli amministratori IT essere in grado di distinguere tra traffico cattivo e buono. Le famiglie di malware utilizzano sempre più SSL per crittografare le comunicazioni tra l’endpoint compromesso e i sistemi di comando e controllo per nascondere istruzioni, carichi utili e altre informazioni inviate. Il numero di payload inviati tramite connessioni crittografate è raddoppiato nei primi sei mesi del 2017 rispetto a tutto il 2016, ha affermato Desai.

Circa il 60 per cento dei payload dannosi che utilizzano SSL/TLS per il comando e il controllo (C & C) attività proveniva da famiglie Trojan bancari come Zbot, Vawtrak e Trickbot, Zscaler ha detto. Un altro 12 per cento erano infostealer famiglie Trojan come Fareit e Papra. Un quarto dei carichi utili proveniva da famiglie ransomware.

Gli equipaggi di phishing utilizzano anche SSL / TLS, poiché ospitano le loro pagine dannose su siti con certificati legittimi. Gli utenti pensano di essere su un sito valido, dal momento che vedono la parola “sicuro” o l’icona del lucchetto nel browser, non rendendosi conto che quegli indicatori significano solo che il certificato stesso è valido e la connessione è crittografata. Non ci sono promesse fatte circa la legittimità del sito, o anche che è quello che sostiene di essere. L’unico modo in cui un utente può dire che il sito è effettivamente di proprietà del proprietario corretto è guardare il certificato effettivo. Alcuni browser rendono più facile visualizzando il nome del proprietario del dominio nel browser, invece di solo la parola “Sicuro” o il lucchetto.

Microsoft, LinkedIn e Adobe sono tra i marchi più comunemente contraffatti. Desai ha detto che ha visto siti di phishing come nnicrosoft.com (dove i due’ n ‘ uno accanto all’altro sembrano una ‘m’). Altri siti abusati da equipaggi di phishing includono Venditore Amazon, Google Drive, Outlook e DocuSign, Desai ha detto.

Non incolpare le autorità di certificazione gratuite (CAS) come Let’s Encrypt per l’aumento degli attacchi utilizzando SSL/TLS. Mentre questi servizi hanno reso molto più facile e veloce per i proprietari di siti per ottenere certificati SSL, non sono gli unici erroneamente fornendo criminali con certificati validi. Desai ha detto che la sua squadra ha visto i certificati da CAS stabilito pure. Mentre in alcuni casi, il CAS rilasciato certificati quando non dovrebbero avere, nella maggior parte dei casi, i certificati sono stati emessi correttamente. I criminali avevano dirottato e abusato dei siti legittimi-in genere ben noti servizi cloud come Office 365, SharePoint, Google Drive e Dropbox—per ospitare il carico utile e per raccogliere i dati esfiltrati.

Ad esempio, Desai ha descritto come il gruppo di attacchi CozyBear ha utilizzato gli script PowerShell per montare una partizione OneDrive nascosta su un computer compromesso e copiare tutti i dati sull’unità nascosta. Tutte le attività tra la macchina e il servizio, in questo caso Microsoft OneDrive, sono crittografate per impostazione predefinita e, poiché Microsoft OneDrive viene utilizzato frequentemente per motivi aziendali, i reparti IT non sempre notano gli attacchi. Gli aggressori non hanno bisogno di ottenere fraudolentemente un certificato, in quanto Microsoft OneDrive fornisce quel livello di protezione per tutti gli utenti.

La crittografia non è facoltativa per le aziende e, per questo motivo, devono anche pensare all’ispezione SSL. Questo può essere fornito da una piattaforma basata su cloud, come quello che Zscaler offre, o da appliance che vengono distribuiti in linea, come quelli offerti da Microsoft, Arbor Networks e Check Point (per citarne alcuni). Gli utenti hanno bisogno della certezza che le loro informazioni non saranno intercettate da parti non autorizzate quando sono online, ma le aziende hanno bisogno di un modo per dire quale traffico crittografato contiene dati utente e quali contengono istruzioni dannose. Poiché sempre più attacchi si basano su SSL / TLS per evitare il controllo da parte dei tradizionali strumenti di monitoraggio della rete, le aziende devono adottare misure per assicurarsi che tutti i dati siano protetti e che il traffico errato non superi le difese.

Related Post

Leave A Comment