Articles

Waarom SSL / TLS-aanvallen toenemen

Posted by admin

naarmate bedrijven beter worden in het versleutelen van netwerkverkeer om gegevens te beschermen tegen potentiële aanvallen of blootstelling, verhogen online aanvallers ook hun Secure Sockets Layer/Transport Layer Security (SSL/TLS) – spel om hun kwaadaardige activiteiten te verbergen. In de eerste helft van 2017, een gemiddelde van 60 procent van de transacties waargenomen door beveiligingsbedrijf Zscaler zijn over SSL/TLS, onderzoekers van het bedrijf zei. De groei in SSL/TLS-gebruik omvat zowel legitieme en kwaadaardige activiteiten, als criminelen vertrouwen op geldige SSL-certificaten om hun inhoud te verspreiden. Onderzoekers zagen een gemiddelde van 300 hits per dag voor web exploits die SSL opgenomen als onderdeel van de infectie keten.”Crimeware families maken steeds vaker gebruik van SSL/TLS,” zei Deep Desai, senior director of security research bij Zscaler. Kwaadaardige inhoud wordt geleverd via SSL / TLS heeft meer dan verdubbeld in de afgelopen zes maanden, Zscaler zei. Het bedrijf blokkeerde gemiddeld 8.4 miljoen SSL / TLS-gebaseerde kwaadaardige activiteiten per dag in de eerste helft van 2017 voor haar klanten op de Zscaler cloud platform. Van die geblokkeerde, een gemiddelde van 600.000 per dag waren geavanceerde bedreigingen. Zscaler onderzoekers hebben gezien 12.000 phishing pogingen geleverd via SSL / TLS per dag in de eerste helft van 2017, een 400 procent stijging ten opzichte van 2016.

deze cijfers vertellen slechts een deel van het SSL / TLS-verhaal, omdat Zscaler geen andere soorten aanvallen, zoals adware-campagnes die SSL/TLS gebruiken om hun payloads te leveren, in dit onderzoek heeft opgenomen.

wanneer het grootste deel van het zakelijke netwerkverkeer versleuteld is, is het vanuit crimineel oogpunt zinvol om ook hun activiteiten te versleutelen, omdat het voor IT-beheerders moeilijker zou zijn om het verschil tussen slecht en goed verkeer te zien. Malwarefamilies gebruiken steeds vaker SSL om de communicatie tussen het gecompromitteerde eindpunt en de command-and-control-systemen te versleutelen om instructies, payloads en andere stukken informatie te verbergen die worden verzonden. Het aantal payloads wordt verzonden via versleutelde verbindingen verdubbeld in de eerste zes maanden van 2017 in vergelijking met alle van 2016, zei Desai.

ongeveer 60 procent van de kwaadaardige payloads met behulp van SSL / TLS voor command and control (C&C) activiteit kwam uit banking Trojan families zoals Zbot, Vawtrak en Trickbot, Zscaler zei. Nog eens 12 procent waren infostealer Trojan families zoals Fareit en Papra. Een kwart van de payloads kwam van ransomware families.

phishing bemanningen gebruiken ook SSL / TLS, omdat ze hun kwaadaardige pagina ‘ s hosten op sites met legitieme certificaten. Gebruikers denken dat ze zich op een geldige site bevinden, omdat ze het woord “veilig” of het hangslotpictogram in de browser zien, niet realiserend dat deze indicatoren alleen maar betekenen dat het certificaat zelf geldig is en de verbinding versleuteld is. Er zijn geen beloftes gedaan over de legitimiteit van de site, of zelfs dat het is wat het beweert te zijn. De enige manier waarop een gebruiker kan vertellen dat de site daadwerkelijk eigendom is van de juiste eigenaar is om te kijken naar het werkelijke certificaat. Sommige browsers maken het gemakkelijker door het weergeven van de naam van de eigenaar van het domein in de browser, in plaats van alleen het woord “veilig” of het hangslot.

Microsoft, LinkedIn en Adobe behoren tot de meest vervalste merken. Desai zei dat hij heeft gezien phishing-sites zoals nnicrosoft.com (waar de twee ‘ n ‘naast elkaar eruit zien als een ‘m’). Andere sites worden misbruikt door phishing bemanningen zijn Amazon verkoper, Google Drive, Outlook en DocuSign, Desai zei.

geef gratis certificate authorities (Ca ‘s), zoals Let’ s Encrypt, niet de schuld voor de toename van aanvallen met SSL/TLS. Hoewel deze diensten het veel gemakkelijker en sneller hebben gemaakt voor site-eigenaren om SSL-certificaten te verkrijgen, zijn ze niet de enigen die ten onrechte criminelen voorzien van geldige certificaten. Desai zei dat zijn team ook certificaten van gevestigde CAs zag. Terwijl in sommige gevallen De Ca ‘ s certificaten hebben uitgegeven terwijl ze dat niet hadden moeten doen, zijn de certificaten in de meeste gevallen correct uitgegeven. De criminelen hadden gekaapt en misbruikt de legitieme sites-meestal bekende cloud-diensten zoals Office 365, SharePoint, Google Drive en Dropbox—om de payload hosten en om de exfiltrated gegevens te verzamelen.

Desai beschreef bijvoorbeeld hoe de cozybear attack group PowerShell-scripts gebruikte om een verborgen OneDrive-partitie op een gecompromitteerde machine te monteren en alle gegevens naar de verborgen schijf te kopiëren. Alle activiteit tussen de machine en de service, in dit geval OneDrive, is standaard versleuteld, en omdat OneDrive vaak wordt gebruikt om zakelijke redenen, IT-afdelingen niet altijd merken de aanvallen. De aanvallers niet nodig om frauduleus een certificaat te verkrijgen, zoals OneDrive biedt dat niveau van bescherming voor alle gebruikers.

versleuteling is niet optioneel voor bedrijven, en daarom moeten ze ook nadenken over SSL-inspectie. Dit kan worden geleverd door een cloud-based platform, zoals Wat Zscaler biedt, of door apparaten die worden ingezet inline, zoals die worden aangeboden door Microsoft, Arbor Networks en Check Point (om er een paar te noemen). Gebruikers hebben de zekerheid nodig dat hun informatie niet wordt onderschept door onbevoegde partijen wanneer ze online zijn, maar bedrijven hebben een manier nodig om te zien welk versleuteld verkeer gebruikersgegevens bevat en welke schadelijke instructies bevatten. Aangezien meer aanvallen afhankelijk zijn van SSL / TLS om controle door traditionele netwerk monitoring tools te vermijden, moeten bedrijven stappen ondernemen om ervoor te zorgen dat alle gegevens worden beschermd en dat slecht verkeer niet langs hun verdediging sluipt.

Related Post

Leave A Comment