SOPHOS
圖片來源:SOPHOS
意外安装包
惡意軟體通信通常分為三類:下載其他的惡意軟體,竊取數據,檢索或發送指令來觸發特定的功能(命令和控制)。所有這些類型的通信都可以利用TLS加密來逃避防御者的檢測。但與惡意軟體相關的大部分TLS通信都是第一類,發送程序,加載程序和其他惡意軟體來感染目標系統,使用TLS逃避基本的有效手段檢查。
在惡意軟體中利用TLS的複雜性並不高,因為支持TLS的基礎設施可以免費提供惡意軟體或代碼片段。通常,Droppers程序和加載程序使用合法的網站和雲服務內置的TLS支持,以進一步掩蓋流量。例如,來自Bladabindi RAT傳輸器試圖從Pastebin頁面檢索其有效負載。(該頁面已不存在。)
SOPHOS的研究人員觀察到通過PowerShell的LockBit勒索軟體通過TLS從谷歌文檔電子表格以及其他網站獲取額外的腳本。結果,還觀察到AgentTesla的一個傳輸器(將在本報告後面討論)通過TLS訪問Pastebin來雖然Google和Pastebin通常會迅速關閉其平台上託管的惡意軟體文檔和站點,但許多C2源在一次垃圾郵件活動後就被拋棄了,攻擊者會重新創建新的源來進行下一次攻擊。
例如,在2021年2月,惡意軟體下載流量實際上佔SOPHOS觀察到的基於TLS的C2流量的大部分。至3月期間與類似惡意軟體相關的靜態C2檢測的數據非常吻合。