网络罪犯开始利用SSL/TLS漏洞实施恶意攻击

作者:星期二, 八月 8, 20170
分享:

公司企业在加密网络流量防护潜在数据泄露方面越做越好,在线攻击者也随之更进一步,用SSL/TLS来隐藏他们的恶意活动。

2017年上半年,安全公司Zscaler观测到的所有交易中,平均有60%都是通过SSL/TLS进行的。SSL/TLS使用的增长包含了合法行为和恶意活动两方面——罪犯依靠合法SSL证书散布其恶意内容。平均每天有300次网页漏洞利用包含了作为感染链一环的SSL。

Zscaler安全研究高级主管迪鹏·德赛称:“犯罪软件家族越来越多地使用SSL/TLS。过去6个月里,通过SSL/TLS散布的恶意内容翻了2倍多。”Zscaler云平台上,2017年上半年平均每天封锁840万次基于SSL/TLS的恶意活动。被封的恶意活动中,平均每天有60万起是高级威胁。Zscaler的研究人员在2017年上半年里,每天都要见证通过SSL/TLS投送的1.2万次网络钓鱼尝试——比2016年同期增长了400%

这些数字还只反映了SSL/TLS的一部分现状,因为Zscaler并没有包含进其他类型的攻击,比如使用SSL/TLS投送载荷的广告软件。

当企业网络流量被加密,从罪犯的角度出发,加密他们的犯罪活动也就有利可图了——IT管理员面对同样加了密的流量更难以区分其中好坏。恶意软件家族也越来越多地用SSL加密受害终端与C2系统之间的通信,可以隐藏指令、载荷和其他要发送的信息。与去年同期相比,2017年上半年通过加密连接发送的攻击载荷翻了个倍。

用SSL/TLS进行C2通信的恶意负载,有60%来自银行木马,比如Zbot、Vawtrak和Trickbot。另有12%是信息盗取木马,比如Fareit和Papra。1/4的载荷来自勒索软件。

网络钓鱼团伙也使用SSL/TLS,他们将自己的恶意页面托管在有合法证书的网站上。用户看到“安全”字样或浏览器上的绿色小锁头,就以为自己访问的是合法网站,没有认识到这些标识仅仅表明证书本身有效,以及连接是加密的。网站本身的合法性,甚至网页内容是否属实,并不在这些标识的保证范围内。

用户分辨网站所有人真实性的唯一办法,是查看实际的证书。有些浏览器会显示域名拥有者的名字,而不仅仅是“安全”字样或小锁头标志,这样会更便于用户判断。

微软、领英和Adobe是最常见的被假冒品牌。nnicrosoft.com(用两个连续的“n”试图伪装成“m”)这样的网络钓鱼网站也是存在的。被网络钓鱼团伙滥用的其他网站包括 Amazon Seller、Google Drive、Outlook和DocuSign。

不能将SSL/TLS攻击的上升归咎到 Let’s Encrypt 之类免费证书颁发机构头上。虽然这些服务让网站拥有者更快更方便地获取SSL证书,但他们并不是错误颁发有效证书给罪犯的唯一实体。老牌CA也会将证书错发给罪犯。而且,尽管某些案例中CA把证书颁发给了不应该颁发的对象,但大多数案例中,证书都还是发对了人的。只是罪犯劫持并滥用了合法站点而已——往往是著名的云服务,比如 Office 365、SharePoint、Google Drive 和Dropbox,用这些合法站点托管攻击载荷,收集渗漏出来的数据。

比如说,安逸熊(CozyBear)黑客组织就用PowerShell脚本在被黑主机上挂载了隐藏OneDrive分区,并将所有数据拷贝到了该隐藏分区。主机和服务(OneDrive)间的所有活动,都默认加密,且由于OneDrive常作业务用途,IT部门往往注意不到这些攻击。攻击者不需要欺骗性地获取一个证书,因为OneDrive为所有用户提供该层级的保护。

对企业而言,加密不是可选项,因此,他们还需要考虑SSL检查。基于云的平台,比如Zscaler,可以提供此类服务,或者内联部署的应用也行,比如微软、Arbor Networks 和 Check Point 等公司提供的那些。

用户需要有自己的信息不被未授权方拦截的保证,但企业需要途径知道哪些加密流量包含用户数据,哪些承载了恶意指令。随着更多的攻击依赖SSL/TLS来避免被传统网络监视工具审查,企业需要采取措施确保所有数据受到保护,而坏流量不能偷偷翻过他们的防护。

相关阅读

解密 SSL 流量,发现隐藏威胁
你以为A10 Networks只做应用交付?
让我们加密吧!Let’s Encrypt 欲推免费HTTPS证书

 

分享:

相关文章

写一条评论

 

 

0条评论