Articles

SSL/TLS攻撃が増加している理由

Posted by admin

企業が潜在的な攻撃や露出からデータを保護するためにネットワークトラフィックを暗号化することについてより良くなるにつれて、オンライン攻撃者はまた、悪意のある活動を隠すためにSecure Sockets Layer/Transport Layer Security(SSL/TLS)ゲームを強化している。 2017年上半期には、セキュリティ会社Zscalerが観察した取引の平均60%がSSL/TLSを超えていると同社の研究者は述べています。 犯罪者はコンテンツを配布するために有効なSSL証明書に依存しているため、SSL/TLSの使用量の増加には、正当な活動と悪意のある活動の両方が含まれ 研究者らは、感染チェーンの一部としてSSLを含むwebエクスプロイトのために一日あたり300ヒットの平均を見ました。

“CrimewareファミリーはますますSSL/TLSを使用しています”と、Zscalerのセキュリティ研究のシニアディレクターであるDeeph Desai氏は述べています。 SSL/TLSを介して配信されている悪意のあるコンテンツは、過去6ヶ月で2倍以上になりました、とZscalerは言いました。 同社は8の平均をブロックしました。Zscalerクラウドプラットフォーム上の顧客のための4の上半期に一日あたり百万のSSL/TLSベースの悪意のある活動2017。 ブロックされたもののうち、一日あたり600,000の平均は、高度な脅威でした。 Zscalerの研究者は、2017年上半期に1日あたり12,000件のフィッシング詐欺の試みがSSL/TLS経由で配信されたことを見ており、これは2016年から400%増加しています。

この調査では、zscalerにはSSL/TLSを使用してペイロードを配信するアドウェアキャンペーンなど、他のタイプの攻撃は含まれていなかったため、これらの数字はSSL/TLS

企業のネットワークトラフィックの大部分が暗号化されている場合、IT管理者が悪いトラフィックと良いトラフィックの違いを見分けることが困難であるため、犯罪の観点からも彼らの活動を暗号化することは理にかなっています。 マルウェアファミリは、SSLを使用して、侵害されたエンドポイントとコマンドおよび制御システムとの間の通信を暗号化し、命令、ペイロード、および他の情報が送信されることを隠すようになっています。 暗号化された接続を介して送信されるペイロードの数は、2017年の上半期に2016年のすべてに比べて倍増した、とDesai氏は述べています。

コマンドと制御のためにSSL/TLSを使用する悪意のあるペイロードの約60%(C&C)の活動は、Zbot、Vawtrak、Trickbotなどの銀行トロイの木馬ファミリーから来たとZscalerは述 他の12パーセントはFareitおよびPapraのようなinfostealerのトロイの木馬家族だった。 ペイロードの4分の1はランサムウェアファミリーからのものでした。

フィッシング担当者は、正当な証明書を持つサイトで悪意のあるページをホストするため、SSL/TLSも使用します。 ユーザーは、ブラウザに「安全」という単語や南京錠のアイコンが表示されているため、証明書自体が有効であり、接続が暗号化されていることを意味する サイトの正当性について、あるいはそれが主張しているものであるという約束はありません。 ユーザーがサイトが実際に正しい所有者によって所有されていることを伝えることができる唯一の方法は、実際の証明書を見ることです。 一部のブラウザでは、”安全な”という単語や南京錠だけではなく、ブラウザにドメイン所有者の名前を表示することで簡単になります。

マイクロソフト、LinkedIn、Adobeは、最も一般的になりすましブランドの一つです。 Desaiは、彼が次のようなフィッシングサイトを見てきたと述べましたnnicrosoft.com (隣同士の2つの’n’は’m’のように見えます)。 フィッシングクルーによって悪用されている他のサイトには、Amazon Seller、Google Drive、Outlook、DocuSignが含まれているとDesaiは述べています。

SSL/TLSを使用した攻撃の増加に対して、Let’s Encryptのような無料の認証局(Ca)を責めないでください。 これらのサービスは、サイト所有者がSSL証明書を取得することをはるかに簡単かつ迅速にしましたが、犯罪者に有効な証明書を誤って提供しているのは、彼らだけではありません。 Desai氏は、彼のチームは確立されたCaからの証明書も見たと述べた。 場合によっては、Caが証明書を発行すべきではないときに証明書を発行しましたが、ほとんどの場合、証明書が正しく発行されました。 犯罪者は、ペイロードをホストし、抽出されたデータを収集するために、合法的なサイト(Office365、SharePoint、Googleドライブ、Dropboxなどの一般的によく知られているクラウドサービス)をハイジャックし、悪用していました。

たとえば、Desaiは、CozyBear攻撃グループがPowerShellスクリプトを使用して、侵害されたマシンに非表示のOneDriveパーティションをマウントし、すべてのデータを非表示のドライブ OneDriveはビジネス上の理由で頻繁に使用されるため、IT部門は常に攻撃に気付くとは限りません。 OneDriveはすべてのユーザーにそのレベルの保護を提供するため、攻撃者は不正に証明書を取得する必要はありません。

暗号化は企業にとってオプションではなく、そのため、SSL検査についても考える必要があります。 これは、zscalerが提供するものなどのクラウドベースのプラットフォーム、またはMicrosoft、Arbor Networks、Check Pointが提供するものなど、インラインで展開されるアプライアンスによって ユーザーは、オンラインにいるときに、権限のない当事者によって情報が傍受されないことを保証する必要がありますが、企業は、どの暗号化されたトラフ 従来のネットワーク監視ツールによる精査を避けるためにSSL/TLSに依存する攻撃が増えているため、企業はすべてのデータが保護され、悪いトラフィックが防

Related Post