为什么SSL / TLS攻击正在上升

admin

为什么SSL / TLS攻击正在上升 灰鸽子
随着越来越多的公司采用更好的加密方式，网络犯罪分子正在转向使用SSL / TLS的漏洞来提供恶意攻击。
随着企业越来越好地加密网络流量来保护数据免受潜在的攻击或暴露，网络攻击者也加紧了安全套接层/传输层安全（SSL / TLS）游戏，以隐藏其恶意活动。该公司的研究人员表示，2017年上半年，安全公司Zscaler所观察到的交易平均达到了60％。 SSL / TLS使用的增长包括合法和恶意的活动，因为罪犯依靠有效的SSL证书来分发其内容。研究人员每天平均有300次点击，其中包括SSL作为感染链的一部分。

Zscaler的安全研究高级主管Deepen Desai说：“Crimeware家庭越来越多地使用SSL / TLS。 Zscaler说，过去六个月，通过SSL / TLS传递的恶意内容已经翻了一番多。该公司在其Zscaler云平台上的客户在2017年上半年每天平均阻止了840万个基于SSL / TLS的恶意活动。其中，每天平均有60万人受到威胁。 Zscaler研究人员已经看到，2017年上半年每天通过SSL / TLS传送了12,000次网络钓鱼尝试，比2016年增长了400％。


这些数字只表明了SSL / TLS的一部分故事，因为Zscaler在本研究中并没有包含其他类型的攻击，例如使用SSL / TLS传递有效载荷的广告软件。

当大部分企业网络流量被加密时，从犯罪角度来看，加密他们的活动也是有道理的，因为IT管理员难以分辨不良流量和流量之间的差异。恶意软件家族越来越多地使用SSL来加密受损端点和命令和控制系统之间的通信，以隐藏指令，有效载荷和其他发送的信息。 Desai说，与2017年相比，2017年前六个月，通过加密连接发送的有效载荷数量翻了一番。

Zscaler说，大约60％使用SSL / TLS进行命令和控制（C＆C）活动的恶意有效载荷来自银行木马家族，如Zbot，Vawtrak和Trickbot。另有12％是信息通讯员特洛伊族家庭，如Fareit和Papra。四分之一的有效载荷来自ransomware家庭。

网路钓鱼机组还使用SSL / TLS，因为他们在具有合法证书的网站上托管其恶意网页。用户认为它们在有效的站点上，因为它们在浏览器中看到“安全”或挂锁图标，而不是意识到这些指示符只是意味着证书本身是有效的并且连接被加密。对网站的合法性没有任何承诺，甚至是它所声称的。用户可以告诉网站的唯一方法实际上由正确的所有者拥有，就是查看实际的证书。一些浏览器可以通过在浏览器中显示域名所有者的名称，而不仅仅是“安全”或挂锁，从而更容易, 灰鸽子, 监控软件。

微软，LinkedIn和Adobe是最常被欺骗的品牌之一。 Desai表示，他已经看到像nnicrosoft.com这样的网络钓鱼网站（其中两个'n'相邻的'n'看起来像'm'）。其他被网络钓鱼机构滥用的网站包括亚马逊卖家，Google Drive，Outlook和DocuSign，Desai表示。

不要责怪免费的证书颁发机构（CA），例如让我们使用SSL / TLS加密攻击。虽然这些服务使网站所有者获得SSL证书变得更加容易和快捷，但并不是唯一错误地为犯罪分子提供有效证书的人员。 Desai表示，他的团队也看到了CA的证书。虽然在某些情况下，CAs在没有证书的情况下颁发证书，在大多数情况下证书已正确发放。罪犯劫持并滥用合法网站（通常是知名的云服务，如Office 365，SharePoint，Google Drive和Dropbox）来托管有效载荷并收集exfiltrated数据。

例如，Desai描述了CozyBear攻击组如何使用PowerShell脚本在受感染的机器上安装隐藏的OneDrive分区，并将所有数据复制到隐藏的驱动器上。默认情况下，机器和服务之间的所有活动（在这种情况下为OneDrive）都是加密的，由于业务原因，OneDrive经常使用，因此IT部门并不总是注意到这些攻击。攻击者不需要欺诈性地获取证书，因为OneDrive为所有用户提供了一定程度的保护。

加密对于企业来说不是可选的，因此，他们还需要考虑SSL检查。这可以由基于云的平台（例如Zscaler提供的）或由内联部署的设备（如Microsoft，Arbor Networks和Check Point提供的设备）（仅举几例）提供。用户需要保证，他们的信息在未经授权的用户在线时不会被拦截，但企业需要一种方法来判断哪些加密流量包含用户数据，哪些加载恶意指令。随着更多的攻击依靠SSL / TLS来避免传统的网络监控工具的审查，企业需要采取措施确保所有的数据都得到保护，并且恶意的流量不会超越防御。