【调查】近一半的恶意软件隐藏在TLS加密通信中

最新研究表明，46%的恶意软件使用加密协议来逃避检测、与攻击者控制的服务器通信、泄露数据。攻击者广泛使用传输层安全(TLS)加密协议来隐藏恶意软件通信，这给企业安全团队带来了新的挑战。2021年第一季度，网络安全公司Sophos对恶意软件样本进行的分析发现，近一半(46%)通过互联网与远程系统通信的恶意软件使用了TLS协议。与2020年23%的恶意软件工具使用TLS相比，这代表了100%的增长率。快速增长的主要原因是网络犯罪分子越来越喜欢使用受TLS保护的合法云和Web服务，例如GoogleCloudServices、Pastebin、Discord和GitHub，并使用这些合法的TLS服务来托管恶意软件、存储被盗数据以及控制和通信操作。另一个原因是攻击者越来越多地使用Tor和其他基于TLS的Web代理来加密与恶意软件的通信。Sophos高级威胁研究员SeanGallagher表示：“分析得出的关键结论是，在筛选恶意软件和基于信誉扫描的传统防火墙防御时，不存在‘安全’域或‘安全’服务之类的东西，没有深度数据包检测，根本无法保护系统。”Sophos的报告再次凸显了互联网加密快速传播的双刃性质。在过去的几年中，隐私倡导者、安全专家、浏览器制造商和其他人都在为广泛采用加密协议以保护互联网通信不被泄露而发起运动。被间谍窃取和监视。由于他们的努力，使用TLS的HTTPS协议几乎完全取代了旧的HTTP协议。谷歌是HTTPS最有影响力的支持者，它表示其美国资产中92%的流量使用TLS.这个百分比在其他国家甚至更高。例如，在比利时和印度，98%的谷歌网站流量是加密的；在日本和巴西，96%；在德国，94%的谷歌流量是加密的。在电子邮件系统、虚拟专用网络和其他领域中采用HTTPS和TLS的总体上升促进了隐私和安全，它也为攻击者创造了使用的机会同样的加密技术可以隐藏他们的恶意软件和恶意通信，让他们更容易逃避正常的检测机制。互联网先驱、FarsightSecurity总裁、首席执行官兼联合创始人PaulVixie说：“我们构建的任何东西都是坏人无法使用的。TLS背后的大部分推动力是一项善意的努力，旨在保护威权国家的互联网用户免受政府及其情报机构拦截和窥探他们的在线通信。但同样的技术也有利于攻击者。创造只让持不同政见者受益的技术是不可能的。?恶意用例多种多样Sophos分析表明，攻击者使用TLS来泄露数据、进行命令和控制(C2)通信，并传播恶意软件以逃避检测系统。此类活动中的绝大多数日常恶意TLS流量来自恶意软件投放程序、加载程序和在受感染系统上下载其他恶意软件的工具。在许多情况下，恶意软件植入程序和加载程序使用支持TLS的合法站点（例如Pastebin、Discord和GitHub）来进一步掩饰其恶意流量。Sophos指出了几个案例，例如LockBit勒索软件的基于PowerShell的释放器通过TLS从GoogleDocs电子表格中检索恶意脚本。信息窃取软件AgentTesla从Pastebin抓取额外代码。Sophos还观察到TLS在勒索软件攻击中的使用有所增加，尤其是在手动部署恶意软件的情况下。这种增长大部分来自Metasploit和CobaltStrike等攻击。性安全工具包的使用激增，这些工具包被大量用于执行脚本、收集系统信息、提取登录凭据和执行其他恶意活动。Gallagher说：“我们看到TLS主要用于恶意软件攻击的早期阶段。由专注于手动攻击的工具使用。大多数远程访问特洛伊木马(RAT)和机器人恶意软件使用其他方法来混淆或加密通信，例如hard-编码的AES加密或更简单的自定义编码。同时，在数据渗漏攻击中，攻击者使用恶意软件和其他方法将窃取的数据通过TLS封装到HTTPSPOST请求中，或者通过私有TLS连接将窃取的数据导出到Telegram、Discord或其他云服务。API。目前，谷歌云服务和印度国有电信公司BSNL是两个最大的恶意软件“回连”目的地，分别占Sophos观察到的所有恶意软件TLS请求的9%和8%。总体而言，一半与恶意软件相关目前TLS流量直接流向位于美国和印度的服务器。企业网络上的一些恶意TLS流量不使用标准IP端口：443、80和8080。因此，整个运行过程恶意TLS使用的ge可能比在标准端口号上观察到的要多。?“随机噪声”Farsight创始人Vixie表示，下一代HTTP/3采用的QUIC互联网传输协议和DNSoverHTTPS（DoH）等新兴标准将给企业安全团队带来更复杂的情况。现有的防火墙技术和其他检测机制无法检测到通过这些机制隐藏的恶意软件。“没有人能弄清楚发生了什么，”Vixie说。“他们只能看到进入的纯随机噪声。无法判断哪些随机噪声是恶意的，哪些是良性的。”企业被迫回到以前只允许已知合法流量的检测模式：不再在网络边缘放置防火墙，而是在网络边缘设置代理来检查所有进出网络的流量。来自网络内部的所有数据包都需要公开目的地址，然后应用各种策略来确定是继续发送还是阻止它。实现这样的检测模式会很不方便。因此，企业可能不得不考虑组织自己的网络拓扑结构，以便不太敏感的数据在控制较少的网络上流动，同时敏感数据在代理后面得到保护。