Articles

Por que os ataques SSL/TLS estão em ascensão

Posted by admin

à medida que as empresas melhoram a criptografia do tráfego de rede para proteger os dados de possíveis ataques ou exposição, os invasores online também estão intensificando seu jogo Secure Sockets Layer/Transport Layer Security (SSL/TLS) para ocultar suas atividades maliciosas. No primeiro semestre de 2017, uma média de 60% das transações observadas pela empresa de segurança Zscaler foram sobre SSL/TLS, disseram os pesquisadores da empresa. O crescimento no uso de SSL / TLS inclui atividades legítimas e maliciosas, já que os criminosos dependem de certificados SSL válidos para distribuir seu conteúdo. Os pesquisadores viram uma média de 300 acessos por dia para explorações da web que incluíam SSL como parte da cadeia de infecção.”As famílias de Crimeware estão cada vez mais usando SSL/TLS”, disse Aprofund Desai, diretor sênior de pesquisa de segurança da Zscaler. O conteúdo malicioso que está sendo entregue por SSL / TLS mais do que dobrou nos últimos seis meses, disse Zscaler. A empresa bloqueou uma média de 8.4 milhões de atividades maliciosas baseadas em SSL/TLS por dia no primeiro semestre de 2017 para seus clientes em sua plataforma Zscaler cloud. Dos bloqueados, uma média de 600.000 por dia eram ameaças avançadas. Os pesquisadores do Zscaler viram 12.000 tentativas de phishing entregues por SSL / TLS por dia no primeiro semestre de 2017, um aumento de 400% em relação a 2016.

esses números contam apenas parte da história SSL/TLS, já que o Zscaler não incluiu outros tipos de ataques, como campanhas de adware usando SSL/TLS para entregar suas cargas úteis, nesta pesquisa.

quando a maior parte do tráfego da rede corporativa é criptografada, faz sentido do ponto de vista criminoso também criptografar suas atividades, pois seria mais difícil para os administradores de TI saber a diferença entre tráfego ruim e bom. As famílias de Malware estão cada vez mais usando SSL para criptografar as comunicações entre o endpoint comprometido e os sistemas de comando e controle para ocultar instruções, cargas úteis e outras informações enviadas. O número de cargas úteis enviadas por conexões criptografadas dobrou nos primeiros seis meses de 2017 em comparação com todos os de 2016, disse Desai.

cerca de 60% das cargas úteis maliciosas usando SSL / TLS para atividade de comando e controle (C&C) vieram de famílias de Tróia bancárias como Zbot, Vawtrak e Trickbot, disse Zscaler. Outros 12% eram famílias de Tróia infostealer, como Fareit e Papra. Um quarto das cargas veio de famílias de ransomware.As equipes de Phishing também usam SSL / TLS, pois hospedam suas páginas maliciosas em sites com certificados legítimos. Os usuários pensam que estão em um site válido, pois veem a palavra “Seguro” ou o ícone de cadeado no navegador, sem perceber esses indicadores, significa apenas que o próprio certificado é válido e a conexão é criptografada. Não há promessas sendo feitas sobre a legitimidade do site, ou mesmo que é o que ele afirma ser. A única maneira que um usuário pode dizer que o site é realmente de propriedade do proprietário correto é olhar para o certificado real. Alguns navegadores facilitam a exibição do nome do proprietário do domínio no navegador, em vez de apenas a palavra “Seguro” ou o cadeado.Microsoft, LinkedIn e Adobe estão entre as marcas mais comumente Falsificadas. Desai disse que viu sites de phishing como nnicrosoft.com (onde os dois ‘ N ‘ao lado um do outro se parecem com um ‘m’). Outros sites que estão sendo abusados por equipes de phishing incluem Amazon Seller, Google Drive, Outlook e DocuSign, disse Desai.

não culpe as autoridades de certificação gratuitas (CAs), como Let’s Encrypt, pelo aumento dos ataques usando SSL/TLS. Embora esses serviços tenham tornado muito mais fácil e rápido para os proprietários de sites obterem certificados SSL, eles não são os únicos que fornecem erroneamente aos criminosos certificados válidos. Desai disse que sua equipe viu certificados de CAs estabelecidos também. Enquanto em alguns casos, o CAs emitiu certificados quando eles não deveriam ter, na maioria dos casos, os certificados foram emitidos corretamente. Os criminosos haviam sequestrado e abusado dos sites legítimos – normalmente conhecidos serviços em nuvem, como Office 365, SharePoint, Google Drive e Dropbox—para hospedar a carga útil e coletar os dados exfiltrados.

por exemplo, Desai descreveu como o CozyBear attack group usou scripts do PowerShell para montar uma partição oculta do OneDrive em uma máquina comprometida e copiar todos os dados para a unidade oculta. Toda a atividade entre a máquina e o serviço, neste caso o OneDrive, é criptografada por padrão e, como o OneDrive é freqüentemente usado por motivos comerciais, os departamentos de TI nem sempre percebem os ataques. Os invasores não precisam obter um certificado de forma fraudulenta, pois o OneDrive fornece esse nível de proteção para todos os usuários.

a criptografia não é opcional para as empresas e, por isso, elas também precisam pensar na inspeção SSL. Isso pode ser fornecido por uma plataforma baseada em nuvem, como o que o Zscaler oferece, ou por dispositivos que são implantados em linha, como os oferecidos pela Microsoft, Arbor Networks e Check Point (para citar alguns). Os usuários precisam da garantia de que suas informações não serão interceptadas por partes não autorizadas quando estiverem online, mas as empresas precisam de uma maneira de dizer qual tráfego criptografado contém dados do Usuário e quais carregam instruções maliciosas. À medida que mais ataques dependem de SSL/TLS para evitar o escrutínio pelas ferramentas tradicionais de monitoramento de rede, as empresas precisam tomar medidas para garantir que todos os dados estejam protegidos e que o tráfego ruim não ultrapasse suas defesas.

Related Post

Leave A Comment