為什么SSL / TLS攻擊正在上升

admin

為什么SSL / TLS攻擊正在上升 灰鴿子
隨著越來越多的公司采用更好的加密方式，網絡犯罪分子正在轉向使用SSL / TLS的漏洞來提供惡意攻擊。
隨著企業越來越好地加密網絡流量來保護數據免受潛在的攻擊或暴露，網絡攻擊者也加緊了安全套接層/傳輸層安全（SSL / TLS）游戲，以隱藏其惡意活動。該公司的研究人員表示，2017年上半年，安全公司Zscaler所觀察到的交易平均達到了60％。 SSL / TLS使用的增長包括合法和惡意的活動，因為罪犯依靠有效的SSL證書來分發其內容。研究人員每天平均有300次點擊，其中包括SSL作為感染鏈的一部分。

Zscaler的安全研究高級主管Deepen Desai說：“Crimeware家庭越來越多地使用SSL / TLS。 Zscaler說，過去六個月，通過SSL / TLS傳遞的惡意內容已經翻了一番多。該公司在其Zscaler云平臺上的客戶在2017年上半年每天平均阻止了840萬個基于SSL / TLS的惡意活動。其中，每天平均有60萬人受到威脅。 Zscaler研究人員已經看到，2017年上半年每天通過SSL / TLS傳送了12,000次網絡釣魚嘗試，比2016年增長了400％。


這些數字只表明了SSL / TLS的一部分故事，因為Zscaler在本研究中并沒有包含其他類型的攻擊，例如使用SSL / TLS傳遞有效載荷的廣告軟件。

當大部分企業網絡流量被加密時，從犯罪角度來看，加密他們的活動也是有道理的，因為IT管理員難以分辨不良流量和流量之間的差異。惡意軟件家族越來越多地使用SSL來加密受損端點和命令和控制系統之間的通信，以隱藏指令，有效載荷和其他發送的信息。 Desai說，與2017年相比，2017年前六個月，通過加密連接發送的有效載荷數量翻了一番。

Zscaler說，大約60％使用SSL / TLS進行命令和控制（C＆C）活動的惡意有效載荷來自銀行木馬家族，如Zbot，Vawtrak和Trickbot。另有12％是信息通訊員特洛伊族家庭，如Fareit和Papra。四分之一的有效載荷來自ransomware家庭。

網路釣魚機組還使用SSL / TLS，因為他們在具有合法證書的網站上托管其惡意網頁。用戶認為它們在有效的站點上，因為它們在瀏覽器中看到“安全”或掛鎖圖標，而不是意識到這些指示符只是意味著證書本身是有效的并且連接被加密。對網站的合法性沒有任何承諾，甚至是它所聲稱的。用戶可以告訴網站的唯一方法實際上由正確的所有者擁有，就是查看實際的證書。一些瀏覽器可以通過在瀏覽器中顯示域名所有者的名稱，而不僅僅是“安全”或掛鎖，從而更容易, 灰鴿子, 監控軟件。

微軟，LinkedIn和Adobe是最常被欺騙的品牌之一。 Desai表示，他已經看到像nnicrosoft.com這樣的網絡釣魚網站（其中兩個'n'相鄰的'n'看起來像'm'）。其他被網絡釣魚機構濫用的網站包括亞馬遜賣家，Google Drive，Outlook和DocuSign，Desai表示。

不要責怪免費的證書頒發機構（CA），例如讓我們使用SSL / TLS加密攻擊。雖然這些服務使網站所有者獲得SSL證書變得更加容易和快捷，但并不是唯一錯誤地為犯罪分子提供有效證書的人員。 Desai表示，他的團隊也看到了CA的證書。雖然在某些情況下，CAs在沒有證書的情況下頒發證書，在大多數情況下證書已正確發放。罪犯劫持并濫用合法網站（通常是知名的云服務，如Office 365，SharePoint，Google Drive和Dropbox）來托管有效載荷并收集exfiltrated數據。

例如，Desai描述了CozyBear攻擊組如何使用PowerShell腳本在受感染的機器上安裝隱藏的OneDrive分區，并將所有數據復制到隱藏的驅動器上。默認情況下，機器和服務之間的所有活動（在這種情況下為OneDrive）都是加密的，由于業務原因，OneDrive經常使用，因此IT部門并不總是注意到這些攻擊。攻擊者不需要欺詐性地獲取證書，因為OneDrive為所有用戶提供了一定程度的保護。

加密對于企業來說不是可選的，因此，他們還需要考慮SSL檢查。這可以由基于云的平臺（例如Zscaler提供的）或由內聯部署的設備（如Microsoft，Arbor Networks和Check Point提供的設備）（僅舉幾例）提供。用戶需要保證，他們的信息在未經授權的用戶在線時不會被攔截，但企業需要一種方法來判斷哪些加密流量包含用戶數據，哪些加載惡意指令。隨著更多的攻擊依靠SSL / TLS來避免傳統的網絡監控工具的審查，企業需要采取措施確保所有的數據都得到保護，并且惡意的流量不會超越防御。