Articles

De ce atacurile SSL/TLS sunt în creștere

Posted by admin

pe măsură ce întreprinderile se îmbunătățesc în ceea ce privește criptarea traficului de rețea pentru a proteja datele împotriva potențialelor atacuri sau expuneri, atacatorii online își intensifică, de asemenea, jocul Secure Sockets Layer/Transport Layer Security (SSL/TLS) pentru a-și ascunde activitățile rău intenționate. În prima jumătate a anului 2017, o medie de 60% din tranzacțiile observate de compania de securitate Zscaler au fost peste SSL/TLS, au spus cercetătorii companiei. Creșterea utilizării SSL / TLS include atât activități legitime, cât și activități rău intenționate, deoarece infractorii se bazează pe certificate SSL valide pentru a-și distribui conținutul. Cercetătorii au văzut în medie 300 de accesări pe zi pentru exploatările web care includeau SSL ca parte a lanțului de infecții.

„familiile Crimeware folosesc din ce în ce mai mult SSL/TLS”, a declarat aprofunda Desai, director senior de cercetare de securitate la Zscaler. Conținutul rău intenționat livrat prin SSL / TLS s-a dublat în ultimele șase luni, a spus Zscaler. Compania a blocat o medie de 8.4 milioane de activități rău intenționate bazate pe SSL/TLS pe zi în prima jumătate a anului 2017 pentru clienții săi pe platforma cloud Zscaler. Dintre cei blocați, o medie de 600.000 pe zi au fost amenințări avansate. Cercetătorii Zscaler au văzut 12.000 de încercări de phishing livrate prin SSL / TLS pe zi în prima jumătate a anului 2017, o creștere de 400% față de 2016.

aceste cifre spun doar o parte din povestea SSL/TLS, deoarece Zscaler nu a inclus alte tipuri de atacuri, cum ar fi campaniile adware care utilizează SSL/TLS pentru a-și livra sarcinile utile, în această cercetare.

atunci când cea mai mare parte a traficului de rețea întreprindere este criptat, are sens din punct de vedere penal pentru a cripta, de asemenea, activitățile lor, deoarece ar fi mai greu pentru administratorii IT pentru a fi în măsură să-i spuneți diferența dintre traficul rău și bun. Familiile de Malware folosesc din ce în ce mai mult SSL pentru a cripta comunicațiile dintre punctul final compromis și sistemele de comandă și control pentru a ascunde instrucțiunile, sarcinile utile și alte informații trimise. Numărul de sarcini utile trimise prin conexiuni criptate s-a dublat în primele șase luni ale anului 2017, comparativ cu tot anul 2016, a spus Desai.

aproximativ 60% din sarcinile utile rău intenționate care utilizează SSL/TLS pentru activitatea de comandă și control (C& C) provin din familii de troieni bancari precum Zbot, vawtrak și Trickbot, a spus Zscaler. Alte 12 la sută au fost familii troiene infostealer, cum ar fi Fareit și Papra. Un sfert din încărcăturile utile provin din familii ransomware.

echipajele de Phishing folosesc, de asemenea, SSL/TLS, deoarece își găzduiesc paginile rău intenționate pe site-uri cu certificate legitime. Utilizatorii cred că se află pe un site valid, deoarece văd cuvântul „sigur” sau pictograma lacătului din browser, nerealizând acești indicatori înseamnă doar certificatul în sine este valid și conexiunea este criptată. Nu există promisiuni făcute cu privire la legitimitatea site-ului, sau chiar că este ceea ce pretinde a fi. Singurul mod în care un utilizator poate spune că site-ul este de fapt deținut de proprietarul corect este să se uite la certificatul real. Unele browsere facilitează afișarea numelui proprietarului domeniului în browser, în loc de doar cuvântul „Secure” sau lacătul.

Microsoft, LinkedIn și Adobe sunt printre cele mai frecvent falsificate mărci. Desai a spus că a văzut site-uri de phishing, cum ar fi nnicrosoft.com (unde cei doi’ n ‘unul lângă celălalt arată ca un ‘m’). Alte site-uri abuzate de echipele de phishing includ Amazon Seller, Google Drive, Outlook și DocuSign, a spus Desai.

nu dați vina pe autoritățile de certificare gratuite (CAs), cum ar fi Let ‘ s Encrypt, pentru creșterea atacurilor folosind SSL/TLS. În timp ce aceste servicii au făcut mult mai ușor și mai rapid pentru proprietarii de site-uri să obțină certificate SSL, acestea nu sunt singurele care oferă în mod eronat infractorilor certificate valide. Desai a spus că echipa sa a văzut și certificate de la CAS consacrate. În timp ce în unele cazuri, CAs a emis certificate atunci când nu ar fi trebuit, în majoritatea cazurilor, certificatele au fost emise corect. Infractorii au deturnat și au abuzat de site—urile legitime-de obicei servicii cloud cunoscute, cum ar fi Office 365, SharePoint, Google Drive și Dropbox—pentru a găzdui sarcina utilă și pentru a colecta datele exfiltrate.

de exemplu, Desai a descris modul în care grupul de atac CozyBear a folosit scripturile PowerShell pentru a monta o partiție OneDrive ascunsă pe o mașină compromisă și pentru a copia toate datele pe unitatea ascunsă. Toată activitatea dintre aparat și serviciu, în acest caz OneDrive, este criptată în mod implicit și, deoarece OneDrive este frecvent utilizat din motive de afaceri, departamentele IT nu observă întotdeauna atacurile. Atacatorii nu trebuie să obțină în mod fraudulos un certificat, deoarece OneDrive oferă acel nivel de protecție pentru toți utilizatorii.

criptarea nu este opțională pentru întreprinderi și, din această cauză, trebuie să se gândească și la inspecția SSL. Acest lucru poate fi furnizat de o platformă bazată pe cloud, cum ar fi ceea ce oferă Zscaler, sau de aparate care sunt implementate în linie, cum ar fi cele oferite de Microsoft, Arbor Networks și Check Point (pentru a numi câteva). Utilizatorii au nevoie de asigurarea că informațiile lor nu vor fi interceptate de părți neautorizate atunci când sunt online, dar întreprinderile au nevoie de o modalitate de a spune care trafic criptat conține date de utilizator și care poartă instrucțiuni rău intenționate. Deoarece mai multe atacuri se bazează pe SSL/TLS pentru a evita controlul prin instrumentele tradiționale de monitorizare a rețelei, întreprinderile trebuie să ia măsuri pentru a se asigura că toate datele sunt protejate și că traficul rău nu se strecoară pe lângă apărarea lor.

Related Post

Leave A Comment