惡意軟體通訊協定的現狀分析(一)

SOPHOS

圖片來源:SOPHOS


隨著越來越多的互聯網通信使用傳輸層安全的協議,調查發現使用TLS加密通信的惡意軟件數量同時一年內翻一番。

TLS加密協議用於保護越來越多的互聯網,消息和應用數據流量的安全。HTTP的HTTPS協議,StartTLS電子郵件協議,Tor匿名網絡和基於OpenVPN協議的虛擬專用網絡都利用TLS來進行加密和封裝,保護它們在傳輸過程中不被竊取或修改。

在大规模互联网监控被揭露之后,TLS的使用已经增长到可以覆盖大部分互联网通信。根据谷歌的浏览器数据,HTTPS的使用已经从2014年的40%增长到2021年3月的98%。

因此,惡意軟件運營商為了逃避檢測,採用TLS也就不足為奇了。過去一年,使用TLS來隱藏通信的惡意軟件急劇增長。2020年,Sophos檢測到的通過互聯網與遠程系統通信的惡意軟件中,有23種使用TLS,如今這一比例接近46%。

A breakdown of malware outbound communications for the first 3 months of 2021.

還有相當一部分TLS通信使用的不是默認的443端口,例如惡意軟件使用Tor或SOCKS代理通過非標準端口號。Sophos查詢了與443、80和8080以外的端口上惡意互聯網通信相關的主機名的證書遠端日誌,發現49%的主機擁有由證書提交機構(CA)提交的TLS證書。其他手工檢查的一小部分使用了自簽名證書。

但惡意軟件對TLS使用的增長,很大一部分原因是因為使用了合法的網絡和雲服務,這些服務受到TLS保護,如Discord,Pastebin,Github和谷歌的雲服務,它們通常被替換為存放惡意軟件和被竊取的數據,甚至作為殭屍網絡和其他惡意軟件的命令和控制服務器。此外,還與Tor和其他基於TLS的網絡代理的使用增加了相關性,這些代理封裝惡意軟件與攻擊者之間的惡意通信。

A breakdown of the destinations of TLS malware “callhome” traffic by ISP for the first three months of 2021.

從惡意流量佔比來看,與Google’s cloud services的通信,佔惡意TLS通信的9%,印度的BSNL緊隨其後。在2021年3月,使用Cloudflare託管的惡意軟件使用量激增,它佔當月Sophos報告了9700多個與惡意軟件相關的Discord鏈接,很多是針對discord的,目標是竊取用戶憑證,而另外一些是信息竊取和木馬傳遞。

總體而言,將近一半的惡意TLS通信被發送到了美國和印度的服務器上。

過去一年,TLS在勒索軟件攻擊中使用的增加,特別是手動部署的勒索軟件,部分原因是攻擊者使用了利用HTTPS的手動攻擊工具。但是,Sophos每天檢測到惡意的TLS通信中,絕大多數來自最初的惡意軟件:加載程序,卸載程序和基於文檔的安裝程序會返回受保護的網頁,以檢索其的安裝包。

Sophos發現TLS仍佔總流量的2%以上,Sophos將其分類為惡意軟件“ callhome”,在三個月內,56%的C2服務器(由DNS識別的主機名)惡意軟件使用HTTPS和TLS。其中,近四分之一的基礎設施位於Google’s cloud services環境中。

Leave a Comment

發佈留言必須填寫的電子郵件地址不會公開。 必填欄位標示為 *

向上滑動