Hackerii care abuzează de TLS aproape se dublează într-un an

Hackerii care abuzează de TLS aproape se dublează într-un an

Hackerii care abuzează de TLS aproape se dublează într-un an

 Sursa PcRisk.com: Hackers abusing TLS nearly Doubles in One Year

Construit pentru a înlocui Secure Sockets Layer (SSL), Transport Layer Security ( TLS ) este o serie de protocoale criptografice concepute pentru securizarea comunicațiilor între rețele. Protocolul este utilizat în aplicații de e-mail, mesagerie instantanee și voce prin IP. Acestea fiind spuse, stratul de securitate al protocolului în HTTPS rămâne una dintre utilizările principale ale protocolului. Această utilizare este un strat de securitate pentru a păstra comunicațiile ascunse de punctul de vedere al cercetătorilor în domeniul securității pe care actorii de amenințare s-au blocat. Potrivit unui recent raport publicat de Sophos Labs în 2020, 23% dintre malware-urile detectate au fost văzute abuzând de protocolul TLS, până în primul trimestru al anului 2021 acest lucru a crescut la 46%.

 

Cercetătorii au stabilit că creșterea mare a abuzului TLS poate fi legată de amenințările care se îndreaptă din ce în ce mai mult către servicii legitime web și cloud protejate de TLS pentru a ataca în continuare campaniile. Servicii precum Discord, Pastebin, GitHub și serviciile cloud Google sunt din ce în ce mai utilizate ca depozite pentru malware. Acționarea ca depozit pentru malware sau componente specifice nu este singura utilizare pe care au găsit-o autorii de malware pentru serviciile menționate mai sus. Cercetătorii au văzut că serviciile sunt folosite ca stocare pentru date furate și pentru a trimite comenzi către botnets și alte programe malware. În plus, creșterea abuzului TLS a fost, de asemenea, parțial atribuită actorilor de amenințare care încapsulează comunicații în spatele Tor și rețelelor proxy TLS pentru a le ascunde.

Comentând despre utilizarea acestor servicii bazate pe cloud, cercetătorii au remarcat,

„Serviciile cloud Google au fost destinația pentru nouă la sută din cererile de TLS malware, cu BSNL din India aproape în urmă. În luna martie 2021, am văzut o creștere a utilizării programelor malware găzduite de Cloudflare - în mare parte din cauza creșterii în utilizarea rețelei de livrare a conținutului Discord, care se bazează pe Cloudflare, care în sine a reprezentat 4% din numărul detectat. TLS malware în luna respectivă. Am raportat peste 9.700 de linkuri legate de malware către Discord; multe erau specifice discordiei, vizau furtul de acreditări ale utilizatorilor, în timp ce altele erau pachete de livrare pentru alte persoane care fură informații și troieni ... În ansamblu, aproape jumătate din toate comunicațiile TLS malware au fost trimise către servere din Statele Unite și India. ”

O preocupare deosebită pentru întreprinderi este utilizarea sporită a TLS în atacurile de ransomware, în special tulpinile de ransomware operate de oameni, cunoscute pentru a viza întreprinderile mari.

Acest lucru se datorează modularității malware-ului și modului în care acesta utilizează HTTPS pentru a desfășura campanii ofensatoare. În timp ce utilizarea TLS în atacurile ransomware a crescut, marea majoritate a tulpinilor de malware care utilizează TLS au inclus încărcătoare, droppers și instalatoare bazate pe documente care se bazează pe TLS pentru a accesa pagini web securizate pentru a-și recupera pachetele de instalare. În ceea ce privește motivul pentru care încărcătoarele, dropper-urile și programele de instalare bazate pe documente constituie marea majoritate, este că infrastructura pe care o utilizează acceptă deja TLS sau fragmente de cod, ceea ce face exact ceea ce este disponibil gratuit.

O altă utilizare a TLS, pe care actorii de amenințare au găsit-o utilă, este aceea de a ascunde sau ofensa în continuare comunicarea dintre mașina victimei și serverul de comandă și control al atacatorului. Cercetătorii au remarcat,

„Operatorii de programe malware pot utiliza TLS pentru a ascunde comanda și controla traficul. Prin trimiterea de solicitări HTTPS sau conectarea printr-un serviciu proxy bazat pe TLS, malware-ul poate crea un shell invers, permițând transmiterea comenzilor către malware, sau ca malware-ul să recupereze blocuri de script sau chei necesare pentru funcții specifice. Serverele de comandă și control pot fi un server web dedicat de la distanță sau pot fi bazate pe unul sau mai multe documente din servicii cloud legitime. De exemplu, troianul bancar portughez Lampion a folosit un document text Google Docs ca sursă pentru o cheie necesară pentru a debloca o parte din codul său, iar ștergerea documentului a acționat ca un kill-switch. Folosind Google Docs, actorii din spatele Lampion au reușit să ascundă controlul comunicațiilor către malware și să se sustragă de detectarea bazată pe reputație folosind o gazdă de încredere. ”

Și

„Același tip de conexiune poate fi folosit de malware pentru a exfiltrează informații sensibile - transmiterea acredităților de utilizator, parole, cookie-uri și alte date colectate către operatorul malware-ului. Pentru a ascunde furtul de date, malware-ul îl poate încapsula într-un POST HTTPS bazat pe TLS sau îl poate exporta printr-o conexiune TLS către un API de servicii cloud, cum ar fi API-urile „bot” Telegram sau Discord. ”

Infame Malware văzut abuzând de TLS

În timp ce cercetătorii de la Sophos Labs au descoperit numeroase tulpini de malware care utilizează TLS într-o formă sau alta, mai multe tulpini bine cunoscute au folosit, de asemenea, protocolul. SystemBC, polifacetic care poate fi cel mai bine descris ca un instrument de comunicare rău intenționat, este un astfel de element de malware jignitor. O parte din popularitatea malware-ului rezidă în faptul că este disponibil pentru cumpărare pe forumuri subterane de hackeri și este utilizat de alți actori de amenințare pentru a completa atacurile. Când malware-ul a fost descoperit în urmă cu peste un an, acesta acționa în principal ca un proxy de rețea, criptând comunicațiile prin TLS cu conexiunea în sine bazată pe conexiunea proxy la distanță SOCKS5. Acum malware-ul acționează mai mult ca un troian cu acces la distanță bogat în funcții (RAT), pentru a oferi un backdoor persistent.

Programul malware utilizează atât comunicațiile criptate TLS, cât și comunicațiile non-TLS. Pentru comunicațiile TLS, prima utilizare a protocolului este o cerere HTTPS către un proxy pentru IPify, un API care poate fi utilizat pentru a obține adresa IP publică a sistemului infectat. Solicitarea nu este trimisă portului tipic TLS de 443, ci 49271. Apoi SystemBC stabilește o conexiune TLS la un gateway Tor ales din datele de rețea Tor. Din nou, folosește un alt port non-standard, și anume, 49274. Programul malware încearcă apoi să recupereze un alt backdoor cunoscut care creează malware, henos.exe, care se conectează prin TLS pe ​​portul standard, 443, la un site web care returnează linkuri către canalele Telegram. .

Cercetătorii l-au văzut și pe agentul Tesla , un malware care poate fi atât un furt de informații, cât și un RAT. Potrivit cercetătorilor, cea mai recentă versiune, într-un șir lung de versiuni care se întinde pe câțiva ani, are opțiunea de a utiliza rețeaua anonimizatoare Tor pentru a ascunde traficul cu TLS. Cercetătorii au descoperit în continuare că,

„Am văzut, de asemenea, TLS folosit într-unul dintre cele mai recente descărcări AgentTesla, deoarece dezvoltatorii au folosit servicii web legitime pentru a stoca bucăți de malware codate în format base64 pe Pastebin și un serviciu similar numit Hastebin. Prima etapă de descărcare încearcă în continuare să se sustragă detectării prin corecția interfeței software anti-malware Windows (AMSI) pentru a preveni scanarea în memorie a bucăților de cod descărcate pe măsură ce sunt îmbinate și decodate. ”

Adăugarea Tor este utilizată în principal pentru a ascunde comunicațiile prin HTTP. Este important să rețineți că dezvoltatorul malware-ului la momentul scrierii nu a inclus capacitatea de a rula comunicații HTTPS prin malware-ul în sine, dar poate face uz de API-ul bot al Telegram pentru a face acest lucru.

Dridex problemă de este încă o altă malware văzută abuzând de TLS. Troianul bancar cu o lungă istorie a fost văzut pentru prima dată în 2011 și a trecut prin schimbări semnificative de atunci. Versiunile actuale ale malware-ului folosesc posibilitatea de a prelua și descărca module specifice, în funcție de ceea ce doresc atacatorii să facă, în același mod în care TrickBot a folosit-o în trecut. Fiecare modul este responsabil pentru îndeplinirea unor funcții specifice: furtul de acreditări, exfiltrarea datelor cookie ale browserului sau a certificatelor de securitate, înregistrarea tastelor sau realizarea capturilor de ecran.

Acum malware-ul a fost actualizat pentru a ascunde comunicațiile, încapsulându-le cu TLS. Folosește HTTPS pe portul 443 atât pentru a descărca module suplimentare de la cât și pentru a exfiltra datele colectate pe serverul de comandă și control. Datele exfiltrate pot fi criptate suplimentar cu RC4 pentru a le ascunde și a le asigura în continuare dacă atacatorul consideră necesar acest strat suplimentar de criptare. Dridex are, de asemenea, o infrastructură rezistentă de servere de comandă și control, permițând programelor malware instalate să treacă la o copie de rezervă în cazul în care serverul său original de comandă cade.

Cercetătorii Sophos au avertizat, de asemenea, că alte instrumente disponibile utilizează TLS, afirmând:

„Vedem, de asemenea, utilizarea instrumentelor de securitate ofensive și a altor instrumente gata făcute și a interfețelor de programare a aplicațiilor care fac mai accesibilă utilizarea comunicațiilor bazate pe TLS. Aceleași servicii și tehnologii care au făcut ca obținerea certificatelor TLS și configurarea site-urilor web HTTPS să fie mult mai simplă pentru organizațiile mici și persoanele fizice au facilitat, de asemenea, ca actorii rău intenționați să se integreze cu traficul legitim pe Internet și au redus dramatic munca necesară pentru a schimba sau replica frecvent C2 [comandă și control] infrastructură. ”

 Vezi sectiune de detalii contact sau click aici: Tel / WhatsApp 0741 43 90 60 sau Această adresă de email este protejată contra spambots. Trebuie să activați JavaScript pentru a o vedea.

Sursa PcRisk.com: Hackers abusing TLS nearly Doubles in One Year