Articles

Dlaczego ataki SSL/TLS rosną

Posted by admin

w miarę jak przedsiębiorstwa coraz lepiej szyfrują ruch sieciowy w celu ochrony danych przed potencjalnymi atakami lub narażeniem, atakujący online zwiększają również swoją grę Secure Sockets Layer/Transport Layer Security (SSL/TLS), aby ukryć swoje złośliwe działania. W pierwszej połowie 2017 r. średnio 60 proc. transakcji zaobserwowanych przez firmę ochroniarską Zscaler było ponad SSL/TLS, podali naukowcy firmy. Wzrost wykorzystania SSL / TLS obejmuje zarówno legalne, jak i złośliwe działania, ponieważ przestępcy polegają na ważnych certyfikatach SSL w celu dystrybucji swoich treści. Naukowcy odnotowali średnio 300 odsłon dziennie dla exploitów internetowych, które obejmowały SSL jako część łańcucha infekcji.

„rodziny przestępcze coraz częściej używają SSL/TLS” – powiedział Deepen Desai, starszy dyrektor ds. badań nad bezpieczeństwem w Zscaler. Złośliwe treści dostarczane przez SSL / TLS wzrosły ponad dwukrotnie w ciągu ostatnich sześciu miesięcy, powiedział Zscaler. Firma zablokowała średnio 8.4 mln złośliwych działań opartych na SSL / TLS dziennie w pierwszej połowie 2017 r.dla swoich klientów na platformie Zscaler cloud. Spośród zablokowanych średnio 600 000 dziennie stanowiły zaawansowane zagrożenia. Naukowcy Zscaler zaobserwowali 12 000 prób wyłudzania informacji przy użyciu protokołu SSL / TLS dziennie w pierwszej połowie 2017 r., co stanowi wzrost o 400 procent w porównaniu z 2016 r.

te liczby mówią tylko część historii SSL/TLS, ponieważ Zscaler nie uwzględnił w tym badaniu innych rodzajów ataków, takich jak kampanie reklamowe wykorzystujące SSL/TLS do dostarczania swoich ładunków.

gdy większość ruchu w sieci przedsiębiorstwa jest szyfrowana, z kryminalnego punktu widzenia ma sens szyfrować również ich działania, ponieważ administratorom IT trudniej byłoby odróżnić zły i dobry ruch. Rodziny złośliwego oprogramowania coraz częściej używają protokołu SSL do szyfrowania komunikacji między zagrożonym punktem końcowym a systemami dowodzenia i kontroli, aby ukryć wysyłane instrukcje, ładunki i inne informacje. Liczba przesyłanych ładunków za pośrednictwem szyfrowanych połączeń podwoiła się w ciągu pierwszych sześciu miesięcy 2017 r.w porównaniu do wszystkich 2016 r., powiedział Desai.

około 60 procent złośliwych ładunków wykorzystujących SSL/TLS do dowodzenia i kontroli (C&C) pochodziło z trojanów bankowych, takich jak Zbot, Vawtrak i Trickbot, powiedział Zscaler. Kolejne 12 procent stanowiły rodziny trojanów infostealer, takie jak Fareit i Papra. Jedna czwarta ładunków pochodziła z rodzin ransomware.

ekipy phishingowe również używają protokołu SSL/TLS, ponieważ hostują swoje złośliwe strony w witrynach z legalnymi certyfikatami. Użytkownicy myślą, że znajdują się na ważnej stronie, ponieważ widzą słowo „Bezpieczny” lub ikonę kłódki w przeglądarce, nie zdając sobie sprawy z tych wskaźników, po prostu oznaczają, że sam certyfikat jest ważny, a połączenie jest szyfrowane. Nie ma żadnych obietnic co do legalności strony, ani nawet tego, że jest tym, za kogo się podaje. Jedynym sposobem, w jaki użytkownik może stwierdzić, że witryna jest faktycznie własnością właściwego właściciela, jest spojrzenie na rzeczywisty certyfikat. Niektóre przeglądarki ułatwiają wyświetlanie nazwy właściciela domeny w przeglądarce, zamiast tylko słowa „Bezpieczny” lub kłódki.

Microsoft, LinkedIn i Adobe należą do najczęściej sfałszowanych marek. Desai powiedział, że widział strony phishingowe, takie jak nnicrosoft.com (gdzie dwa ’ n 'obok siebie wyglądają jak’m’). Inne witryny nadużywane przez ekipy phishingowe to Amazon Seller, Google Drive, Outlook i DocuSign, powiedział Desai.

nie obwiniaj wolnych urzędów certyfikatów (CAs), takich jak Let ’ s Encrypt, za wzrost liczby ataków przy użyciu SSL/TLS. Chociaż usługi te znacznie ułatwiły i przyspieszyły uzyskiwanie certyfikatów SSL przez właścicieli witryn, nie są jedynymi, którzy błędnie dostarczają przestępcom ważne certyfikaty. Desai powiedział, że jego zespół widział również certyfikaty z uznanych CAs. Podczas gdy w niektórych przypadkach CAs wydał certyfikaty, gdy nie powinny mieć, w większości przypadków certyfikaty zostały prawidłowo wydane. Przestępcy przejęli i wykorzystali legalne witryny-zazwyczaj dobrze znane usługi w chmurze, takie jak Office 365, SharePoint, Google Drive i Dropbox—w celu hostowania ładunku i zbierania usuniętych danych.

na przykład Desai opisał, w jaki sposób grupa atakująca CozyBear używała skryptów PowerShell do zamontowania ukrytej partycji OneDrive na zagrożonym komputerze i skopiowania wszystkich danych na ukryty dysk. Cała aktywność między maszyną a usługą, w tym przypadku OneDrive, jest domyślnie szyfrowana, a ponieważ OneDrive jest często używany ze względów biznesowych, działy IT nie zawsze zauważają ataki. Atakujący nie muszą w nieuczciwy sposób uzyskać certyfikatu, ponieważ OneDrive zapewnia ten poziom ochrony wszystkim użytkownikom.

szyfrowanie nie jest opcjonalne dla przedsiębiorstw, dlatego muszą również pomyśleć o inspekcji SSL. Może to być zapewnione przez platformę opartą na chmurze, taką jak Zscaler oferuje, lub przez urządzenia wdrożone inline, takie jak te oferowane przez Microsoft, Arbor Networks i Check Point (aby wymienić tylko kilka). Użytkownicy muszą mieć pewność, że ich informacje nie zostaną przechwycone przez nieupoważnione strony, gdy są online, ale przedsiębiorstwa potrzebują sposobu na określenie, który zaszyfrowany ruch zawiera dane użytkownika, a który zawiera złośliwe instrukcje. Ponieważ coraz więcej ataków polega na SSL / TLS, aby uniknąć kontroli za pomocą tradycyjnych narzędzi do monitorowania sieci, przedsiębiorstwa muszą podjąć kroki, aby upewnić się, że wszystkie dane są chronione, a zły ruch nie przemyka przez ich obronę.

Related Post