网络安全公司Sophos报告称,使用TLS或传输层安全性进行通信而不会被发现的恶意软件比例已经大大提高。
虽然HTTPS有助于防止窃听,中间人攻击和试图假冒可信任网站的劫机者,但该协议还为网络罪犯提供了掩护,使其可以在网站与命令和控制服务器之间秘密共享信息,而这些信息则隐藏在恶意软件猎人的视图。
Sophos说:“那么,恶意软件运营商也一直在采用TLS …以防止防御者检测并阻止恶意软件的部署和数据盗窃,就不足为奇了。”
恶意软件通信分为三大类:下载更多恶意软件,泄露窃取的数据或命令和控制。这家安全公司说,所有这些类型的通信都可以利用TLS加密来逃避防御者的检测。
据Sophos称,一年前,有24%的恶意软件使用TLS进行通信,但如今这一比例已上升到46%。
Sophos表示,恶意软件使用TLS的整体增长的很大一部分可以部分归因于受到TLS保护的合法Web和云服务的使用增加,这些服务被用作恶意软件组件的不受欢迎存储,被盗数据的目的地甚至是发送命令僵尸网络和其他恶意软件。
它还说,过去一年来,在勒索软件攻击中,尤其是在手动部署的勒索软件中,TLS的使用有所增加,部分原因是攻击者使用了利用HTTPS的模块化攻击性工具。
它说:“但是,我们每天在恶意TLS流量中检测到的绝大多数来自最初受到威胁的恶意软件:加载器,删除程序和基于文档的安装程序会返回安全的网页以检索其安装程序包。”
“我们发现,虽然TLS在三个月内平均仍占平均总流量的百分之二以上,Sophos却将其归类为“恶意软件回叫”,但有56%的唯一C2服务器(由DNS主机名标识)进行了通信使用HTTPS和TLS的恶意软件。”
它突出显示的一个滴管是基于PowerShell的LockBit勒索软件,它可以通过TLS从Google Docs电子表格中远程获取脚本。但是,恶意软件运营商通常将多个Web服务用于不同的功能。
*编译:Domino
*来自:bleepingcomputer