惡意軟體通訊協定的現狀分析(六)

SOPHOS

圖片來源:SOPHOS

Metasploit和Cobalt Strike

進攻性安全工具長期以來一直被惡意攻擊者和安全專家使用。這些商業和開源工具,包括針對的Cobalt Strike和Metasploit工具包,是為滲透測試和“紅隊”安全評估而開發的,但同時由於其本身而受到勒索軟體組織的歡迎。

在過去的一年中,使用攻擊性安全平台衍生的工具進行手動部署勒索軟體的攻擊在激增,攻擊者使用這些工具來執行腳本,收集網絡上其他系統的信息,提取額外的開銷,並傳播勒索軟體和其他惡意軟體。

最近被Contiler索軟體攻擊的Cobalt Strike配置文件,Cobalt Strike信標在攻擊中使用HTTPS和TLS與C2服務器通信

總的來說,Cobalt Strike信標和Metasploit“ Meterpreter”衍生軟體在所有使用TLS檢測到的惡意軟體中佔了1%以上。

其他威脅

潛在的有害應用程式(PUA),特別是在macOS平台上,也利用TLS,通常通過瀏覽器擴展秘密連接到C2服務器,以獲取信息鏈接內容注入其他網頁。Bundlore使用TLS來隱藏惡意腳本,並加入廣告和其他內容注入網頁,而不被發現。已發現超過89%的macOS威脅與C2通信使用TLS。

除了惡意軟體和PUA之外,TLS通信中還潛伏著許多其他的潛在和安全威脅。
釣魚活動越來越依賴於擁有TLS證書的網站-或者註冊了欺騙性域名,或者由雲服務提供商提供。谷歌表單釣魚攻擊似乎很容易被發現,但受過“尋找鎖定”訓練的用戶可能會隨意輸入個人身份數據和憑證。

釣魚網頁案例

流量分析

保守估計,與先前估計2020年以來使用TLS的惡意通訊,擴展超過100%。

一些人在非標準IP端口上使用TLS,如果沒有進行通訊進行更深的包分析,就不可能對TLS使用情況進行完全正確的評估。因此,本報告中的統計數據並不能全面理解基於TLS的惡意通訊,組織不應該僅僅依靠與通訊相關的端口號來識別潛在的惡意通訊。TLS可以在任何可分配的IP端口上實現,在初始握手之後,它看起來就像任何其他TCP應用程序通訊一樣。

最令人震驚的趨勢是使用商業雲和網絡服務作為惡意軟體部署,命令和控制的一部分。惡意軟體開發者對合法通訊平台的濫用使他們獲得了谷歌Docs,Discord,Telegram,Pastebin等提供的加密通訊的好處,在某些情況下,他們還受益於於這些平台的“安全”聲譽。

使用現成的攻擊性安全工具和其他現成的工具和應用程序編程接口,利用基於TLS的通訊更容易訪問的情況在持續增長。讓小型組織和個人更容易獲得TLS證書和配置HTTPS網站的服務和技術,也讓惡意行為者更容易混入合法的互聯網通訊中,大大減少了轉換轉換或複制C2基礎設施所需的工作。

如果沒有深入的防禦,受害者在發現明顯的損害之前,很難提前檢出威脅。

Leave a Comment

發佈留言必須填寫的電子郵件地址不會公開。 必填欄位標示為 *

Scroll Up