[調查]近半數惡意軟件藏身TLS加密通信
最新研究顯示,46%的惡意軟件使用加密協議來逃避檢測、與攻擊者控制的服務器通信,以及滲漏數據。
攻擊者大量使用傳輸層安全(TLS)加密協議隱藏惡意軟件通信,給企業安全團隊的應對帶來了新挑戰。
2021年第一季度,網絡安全公司Sophos對惡意軟件樣本的分析發現,通過互聯網與遠程系統通信的惡意軟件中,近半數(46%)使用了TLS協議。相比2020年23%的惡意軟件工具使用TLS,這代表著100%的增長率。
增長迅猛的主要原因在于,網絡罪犯越來越愛使用谷歌云服務、Pastebin、Discord和GitHub等合法TLS保護的云和Web服務,采用這些合法TLS服務托管惡意軟件、存儲被盜數據,以及進行控制與通信操作。另一個原因是,攻擊者更多地采用Tor和其他基于TLS的網絡代理來加密與惡意軟件之間的通信。
Sophos高級威脅研究員Sean Gallagher稱:“分析研究的主要收獲是,篩查惡意軟件時沒有‘安全’域或‘安全’服務這種東西,傳統防火墻防御基于信譽掃描,沒有深度包檢測,根本無法保護系統。”
Sophos的報告再次凸顯出互聯網加密迅速鋪開的雙刃劍本質。過去幾年里,隱私倡導者、安全專家、瀏覽器制造商等群體大力宣傳要廣泛采用加密協議來保護互聯網通信,防止互聯網通信遭到間諜竊取和監控。
在他們的努力下,使用TLS的HTTPS協議幾乎完全替代了老版HTTP協議。HTTPS最具影響力的擁護者谷歌表示,其美國境內資產上承載的流量中92%使用了TLS。這一比例在其他國家甚至更高。比如說,在比利時和印度,通往谷歌站點的流量中98%是加密的;在日本和巴西,這一比例是96%;而在德國,通往谷歌的流量里94%是加密的。
盡管HTTPS和TLS在電子郵件系統、虛擬專用網和其他領域中的整體采用率上升促進了隱私和安全,但也給攻擊者利用同樣的加密技術隱藏其惡意軟件和惡意通信制造了機會,讓他們更容易躲過常規檢測機制。
Farsight Security總裁、首席執行官兼聯合創始人,互聯網先鋒Paul Vixie表示:“我們構建出來的東西,沒什么是壞人用不了的。”TLS背后的推動力大多來自保護互聯網用戶的善意努力,想要讓專制國家的互聯網用戶免遭政府及其情報機構攔截和窺探他們的在線通信。但這同樣的技術也讓攻擊者受益匪淺。打造只有益于持不同政見者的技術是不可能的。
▶ 惡意用例多種多樣
Sophos的分析顯示,攻擊者將TLS用于滲漏數據、進行命令與控制(C2)通信,以及在傳播惡意軟件時規避檢測系統。此類活動中的絕大部分日常惡意TLS流量來自惡意軟件投放器、加載器和在已感染系統上下載其他惡意軟件的工具。
許多實例中,惡意軟件投放器和加載器使用Pastebin、Discord和GitHub等合法TLS支持的網站進一步偽裝其惡意流量。Sophos指出了其中幾個案例,例如LockBit勒索軟件的一款基于PowerShell的投放器就通過TLS從Google Docs電子表格檢索惡意腳本,信息竊取軟件AgentTesla則從Pastebin抓取其他代碼。
Sophos還觀測到勒索軟件攻擊中TLS使用的增長,尤其是在手動部署惡意軟件的攻擊實例中。其中很大一部分增長源自Metasploit和Cobalt Strike等攻擊性安全工具包的使用激增,此類工具包被大量用于執行腳本、收集系統信息、抽取登錄憑證和執行其他惡意活動。
Gallagher表示:“我們看到TLS主要用于惡意軟件攻擊的前期階段,為專注手動攻擊的工具所用。大多數遠程訪問木馬(RAT)和僵尸惡意軟件采用其他方法混淆或加密通信,比如硬編碼AES加密或更簡單的定制編碼。”
與此同時,在數據滲漏攻擊中,攻擊者使用惡意軟件和其他方法將被盜數據封裝進基于TLS的HTTPS POST請求,或者通過私有TLS連接將被盜數據導出到Telegram、Discord或其他云服務API。
目前,谷歌云服務和印度國有電信公司BSNL是最大的兩個惡意軟件“回連”目的地,分別占Sophos觀測到的全部惡意軟件TLS請求的9%和8%。總的說來,惡意軟件相關TLS通信中目前有一半直接通往位于美國和印度的服務器。
企業網絡上的一些惡意TLS流量不使用標準IP端口:443、80和8080。所以,惡意TLS使用的整個范圍可能會比在標準端口號上觀測到的要多。
▶ “隨機噪音”
Farsight創始人Vixie表示,下一代HTTP/3采用的QUIC互聯網傳輸協議和DNS over HTTPS(DoH)等新興標準,將會給企業安全團隊帶來更復雜的局面。現有防火墻技術和其他檢測機制無法檢測經由這些機制隱藏的惡意軟件。Vixie稱:“沒人能弄清到底發生了什么。他們能看到的全都是純粹的隨機噪音不斷涌來。根本無法分清隨機噪音中哪些是惡意的哪些是良性的。”
這種趨勢可能會讓企業被迫退回以往那種只放行已知合法流量的檢測模式:不在網絡邊緣放置防火墻,而是在網絡邊界設置代理,檢查所有進出網絡的流量。來自網絡內部的所有數據包都需要披露目的地址,然后應用各種策略來確定是繼續發送,還是就此阻止。
實施此類檢測模式會帶很大不便。所以,企業可能必須考慮組織自身網絡拓撲,讓不太敏感的數據在控制更少的網絡上流轉,而敏感數據放在代理之后加以保護。
