Articles

Varför SSL / TLS-attacker ökar

Posted by admin

när företag blir bättre om att kryptera nätverkstrafik för att skydda data från potentiella attacker eller exponering, ökar Online-angripare också sitt Secure Sockets Layer/Transport Layer Security (SSL/TLS) spel för att dölja sina skadliga aktiviteter. Under första halvåret 2017 har i genomsnitt 60 procent av transaktionerna som observerats av säkerhetsföretaget Zscaler varit över SSL/TLS, säger företagets forskare. Tillväxten i SSL / TLS-användning Inkluderar både legitima och skadliga aktiviteter, eftersom brottslingar förlitar sig på giltiga SSL-certifikat för att distribuera innehållet. Forskare såg i genomsnitt 300 träffar per dag för webbutnyttjande som inkluderade SSL som en del av infektionskedjan.

”Crimeware-familjer använder alltmer SSL/TLS”, säger Deeper Desai, senior chef för säkerhetsforskning vid Zscaler. Skadligt innehåll som levereras via SSL / TLS har mer än fördubblats under de senaste sex månaderna, sa Zscaler. Företaget blockerade i genomsnitt 8.4 miljoner SSL/TLS-baserade skadliga aktiviteter per dag under första halvåret 2017 för sina kunder på sin Zscaler cloud-plattform. Av de blockerade var i genomsnitt 600 000 per dag avancerade hot. Zscaler-forskare har sett 12 000 phishing-försök levererade över SSL / TLS per dag under första halvåret 2017, en ökning med 400 procent från 2016.

dessa siffror berättar bara en del av SSL/TLS-historien, eftersom Zscaler inte inkluderade andra typer av attacker, till exempel adware-kampanjer som använder SSL / TLS för att leverera sina nyttolaster, i denna forskning.

när huvuddelen av företagets nätverkstrafik är krypterad är det vettigt ur kriminellt perspektiv att också kryptera sin verksamhet eftersom det skulle vara svårare för IT-administratörer att kunna se skillnaden mellan dålig och bra trafik. Malware-familjer använder i allt högre grad SSL för att kryptera kommunikationen mellan den komprometterade slutpunkten och kommando-och kontrollsystemen för att dölja instruktioner, nyttolaster och annan information som skickas. Antalet nyttolaster som skickas över krypterade anslutningar fördubblades under de första sex månaderna av 2017 jämfört med alla 2016, säger Desai.

om 60 procent av skadliga nyttolaster med SSL / TLS för kommando och kontroll (C&C) aktivitet kom från Bank Trojan familjer som Zbot, Vawtrak och Trickbot, sade Zscaler. Ytterligare 12 procent var infostealer trojanska familjer som Fareit och Papra. En fjärdedel av nyttolasterna kom från ransomware-familjer.

Phishing-besättningar använder också SSL/TLS, eftersom de är värd för sina skadliga sidor på webbplatser med legitima certifikat. Användare tror att de är på en giltig webbplats, eftersom de ser ordet ”säker” eller hänglåsikonen i webbläsaren, utan att inse dessa indikatorer betyder bara att själva certifikatet är giltigt och anslutningen är krypterad. Det finns inga löften om webbplatsens legitimitet, eller ens att det är vad det påstår sig vara. Det enda sättet en användare kan berätta att webbplatsen faktiskt ägs av rätt ägare är att titta på det faktiska certifikatet. Vissa webbläsare gör det enklare genom att visa domänägarens namn i webbläsaren, istället för bara ordet ”säker” eller hänglåset.

Microsoft, LinkedIn och Adobe är bland de vanligaste falska varumärkena. Desai sa att han har sett phishing-webbplatser som nnicrosoft.com (där de två’ n ’bredvid varandra ser ut som ett’m’). Andra webbplatser som missbrukas av phishing-besättningar inkluderar Amazon Seller, Google Drive, Outlook och DocuSign, sa Desai.

skyll inte på gratis certifikatmyndigheter (CAs) som Let ’ s Encrypt för ökningen av attacker med SSL/TLS. Även om dessa tjänster har gjort det mycket enklare och snabbare för webbplatsägare att få SSL-certifikat, är de inte de enda som felaktigt ger brottslingar giltiga certifikat. Desai sa att hans team också såg certifikat från etablerade CAs. I vissa fall utfärdade CAs certifikat när de inte borde ha, i de flesta fall utfärdades certifikaten korrekt. Brottslingarna hade kapat och missbrukat de legitima webbplatserna-vanligtvis välkända molntjänster som Office 365, SharePoint, Google Drive och Dropbox—för att vara värd för nyttolasten och samla in exfiltrerade data.

Desai beskrev till exempel hur cozybear-attackgruppen använde PowerShell-skript för att montera en dold OneDrive-partition på en komprometterad maskin och kopiera all data till den dolda enheten. All aktivitet mellan maskinen och tjänsten, i detta fall OneDrive, är krypterad som standard, och eftersom OneDrive ofta används av affärsskäl märker IT-avdelningar inte alltid attackerna. Angriparna behöver inte bedrägligt skaffa ett certifikat, eftersom OneDrive ger den skyddsnivån för alla användare.

kryptering är inte frivilligt för företag, och på grund av det måste de också tänka på SSL-inspektion. Detta kan tillhandahållas av en molnbaserad plattform, till exempel vad Zscaler erbjuder, eller av apparater som distribueras inline, till exempel de som erbjuds av Microsoft, Arbor Networks och Check Point (för att nämna några). Användare behöver försäkran om att deras information inte kommer att fångas upp av obehöriga när de är online, men företag behöver ett sätt att berätta vilken krypterad trafik som innehåller användardata och vilka som har skadliga instruktioner. Eftersom fler attacker är beroende av SSL / TLS för att undvika granskning av traditionella nätverksövervakningsverktyg, måste företag vidta åtgärder för att se till att all data är skyddad och att dålig trafik inte smyger förbi deras försvar.

Related Post

Leave A Comment