ondsindet brug af SSL øges, når angribere implementerer skjulte angreb

der har været en 260% stigning i brugen af krypteret trafik til at “skjule” angreb.

ny forskning fra Scaler, der analyserer 6,6 milliarder sikkerhedstrusler, har opdaget en stigning på 260% i angreb i de første ni måneder af 2020. Blandt de krypterede angreb var en stigning i mængden af løsepenge med 500%, hvor de mest fremtrædende varianter var FileCrypt/FileCoder, efterfulgt af Sodinokibi, labyrint og Ryuk.

Scaler hævdede, at modstandere har udnyttet SSL til at skjule angreb, “at gøre brugen af kryptering til en potentiel trussel uden ordentlig inspektion.”Det betyder, at cyberkriminelle bruger industristandardkrypteringsmetoder til at skjule ondsindede programmer i krypteret trafik for at udføre angreb, der omgår detektion.

Deep Desai, CISO og vicepræsident for sikkerhedsforskning hos Scaler, sagde: “Vi ser krypterede kanaler blive udnyttet af cyberkriminelle på tværs af hele angrebscyklussen, startende med den første leveringsfase (e-mail med links, kompromitterede sider, ondsindede sider, der bruger SSL/TLS), til levering af nyttelast (nyttelast hostet på cloud-lagringstjenester som f.eks.”

Tim Mackey, hovedsikkerhedsstrateg ved Synopsys CyRC, fortalte Infosecurity, at brug af SSL eller TLS som en del af et angreb er en anerkendelse af, at legitime hjemmesider og systemtrafik i 2020 vil blive krypteret.

“at skjule ondsindet trafik blandt legitim aktivitet har den klare fordel at lade en angriber komme videre gennem de tidlige faser af deres angreb med en lavere risiko for afsløring,” sagde han. “Yderligere, hvis angriberens værktøjssæt udnytter eksisterende systemtjenester, såsom krypteringsmoduler leveret af operativsystemet, og populære cloud-lagringssystemer, såsom Pastebin, GitHub eller S3 buckets, bliver det så meget sværere at differentiere legitim adgang fra det ondsindede.

også, Matthæus Pahl, sikkerhedsforsker ved DomainTools, sagde, at der er tilfælde, hvor angribere bruger SSL – kryptering – over port 443, for eksempel-at eksfiltrere data fra mål, så truslen skitseret i rapporten er reel.

han tilføjede: “organisationer bør placere inspektionscertifikater på alle slutpunkter for at udføre SSL-inspektion. Det er dog også værd at huske, at dette ikke er en magisk kugle, da evnen til at dekryptere og læse udgående trafik kun repræsenterer en komponent i en dybdegående strategi.”

scaler hævdede, at inspektion af krypteret trafik skal være en nøglekomponent i enhver organisations sikkerhedsforsvar, men problemet er traditionelle lokale sikkerhedsværktøjer som næste generations brandvægge kæmper for at levere den ydeevne og kapacitet, der er nødvendig for at dekryptere, inspicere og genkryptere trafik på en effektiv måde. Også forsøg på at inspicere al SSL-trafik ville bringe ydeevne (og produktivitet) til en slibestop, så mange organisationer tillader i det mindste nogle af deres krypterede trafik at passere uinspekteret fra pålidelige cloud-tjenesteudbydere.

” dette er en kritisk mangel,” sagde rapporten. “Manglende inspektion af al krypteret trafik efterlader organisationer sårbare over for skjulte phishing-angreb, ondsindede programmer og meget mere, som alle kan være katastrofale.”

hvis inspektion af krypteret trafik skal være en nøglekomponent i enhver organisations sikkerhedsforsvar, er virksomheder faktisk i stand til at gøre dette? Mackey sagde: “Enhver plan om at gennemføre dyb inspektion af TLS-trafik bør gennemgås med juridisk rådgiver og lederne af forretningsdata. Som et mellemliggende trin kan virksomheder, der driver interne DNS-systemer, implementere netværkspolitikker, der segmenterer deres netværk baseret på brugsprofiler. Inden for hvert segment kan adgang til skybaserede lagersystemer begrænses ved DNS-laget til kun de maskiner med legitime forretningskrav for at få adgang til dem.”

Martin Jartelius, CSO hos Outpost24, sagde: “Dette er stort set et forsøg på at positionere løsninger til ‘juridisk aflytning’ mod markedet. Til dels invaderer dette naturligvis privatlivets fred i høj grad, men det fungerer også kun, hvis den trafik, der sendes, ikke bruger certifikatfastgørelse, eller hvis den trafik, der sendes igen, ikke tunnelkrypterede data i tunnelen.

“detektion er fantastisk, og hvis det kan gøres på netværket, tilføjer det et lag og mulighed, men hvad du har brug for er forebyggelse fra indledende infektion, påvisning af uregelmæssig brugeradfærd. De ‘juridiske aflytningsløsninger’ er i sig selv en udfordring, for eksempel mod GDPR-overholdelse.”