2019独角兽企业重金招聘Python工程师标准>>>
随着越来越多的网站使用安全加密,网络犯罪正转为通过SSL/TLS漏洞发动恶意攻击......
由于企业在网络传输的加密方面做得越来越好,保护数据免受潜在攻击和暴露,因此网络攻击者们也在逐步提高他们的安全套接层/安全传输层(SSL/TLS)技术,以隐藏他们的恶意攻击行为。安全公司Zscaler的研究人员称,2017年上半年,在该公司观测到的业务量中,平均有60%是通过SSL/TLS进行的。SSL/TLS使用量的增长既包括合法活动,也包括依靠有效SSL证书来分发其内容的恶意活动。研究人员发现,平均每天利用网络漏洞进行的攻击达到300次,其中包括将SSL作为入侵链条一部分的攻击行为。
“犯罪软件家族正在越来越多地使用SSL/TLS,”Zscaler公司安全研究部门的高级主管Deepen Desai说。Zscaler公司声称,过去6个月中,通过SSL/TLS发送的恶意内容翻了一倍还多。在2017年上半年,该公司在其Zscaler云平台上平均每天为客户拦截840万次基于SSL/TLS的恶意活动。在这些被拦截的恶意活动中,高级威胁平均每天达到60万次。在2017年上半年,Zscaler公司的研究人员平均每天发现1.2万次通过SSL/TLS进行的钓鱼攻击尝试,这一数据比2016年增长了400%。
这些数据所展示的仅仅是SSL/TLS的一部分,因为Zscaler公司的这项研究中并不包括其它类型的攻击,如使用SSL/TLS发送数据的恶意广告。
当企业网络的大部分通信被加密时,从犯罪分子的角度看,对其活动进行加密仍然是有意义的,因为对于信息技术管理员来说,区分好的通信和坏的通信会变得更困难。恶意软件正在越来越多地使用SSL来加密被攻击的端点和命令控制系统之间的通信,以隐藏他们的指令、有效数据和其它被发送的信息片段。Desai说,与2016年全年相比,2017年前六个月通过加密连接发送的有效数据量已经翻倍。
Zscaler公司称,使用SSL/TLS进行命令控制(C&C)的恶意软件的有效数据中有大约60%来自银行业木马,如Zbot、Vawtrak和Trickbot。此外还有12%来自间谍软件木马,如Fareit和Papra。大约有四分之一的有效数据来自勒索软件。
钓鱼团伙也使用SSL/TLS,因为他们的恶意网页所在的主机拥有合法的证书。用户会认为他们正在访问一个有效网站,因为他们看到了“安全”字样或浏览器中的挂锁标志,他们没有意识到这些标识仅仅意味着证书有效并且连接已被加密。该网站的合法性没有任何保证,甚至它声称自己是什么就是什么。用户想要确认网站真的属于正确的主人的唯一方法是,看一看真实的证书。一些浏览器通过在浏览器中展示域的所有者的名字而不是仅仅展示“安全”字样或挂锁标志来使用户更容易辨认。
微软、领英和Adobe公司是被仿冒最多的几个品牌。Desai说,他曾经见过nnicrosoft.com网站(该网站域名中有两个连续的n,看起来很像一个m)。Desai说,其他被钓鱼团伙侵犯的网站还包括Amazon Seller、Google Drive、Outlook和DocuSign。
但请不要因为使用SSL/TLS进行的攻击增加而责怪免费证书颁发机构(CA),如Let’s Encrypt。尽管这些服务使得网站所有者能够更轻易地获得SSL证书,但它们并不是仅有的把有效证书错误地提供给网络犯罪分子的机构。Desai说,他的团队也看到过那些知名的证书颁发机构犯过同样的错误。尽管在某些情况下,证书颁发机构颁发了本不应颁发的证书,但在多数情况下,证书的颁发是准确无误的。犯罪分子劫持并入侵合法网站——其中有代表性的的是著名的云服务商,如Office 365、SharePoint、Google Drive和Dropbox——来装载他们的恶意软件并收集泄露出的数据。
例如,Desai描述了CozyBear攻击小组是怎样使用PowerShell脚本在一台被入侵的计算机中装载一个隐藏的OneDrive分区并将所有数据复制到该分区的。在这个OneDrive的案例中,计算机和服务商之间的所有活动都被默认进行了加密,而由于商业原因OneDrive经常会被使用,信息技术部门并不总能注意到攻击的发生。由于OneDrive为所有用户提供这一级别的保护,所以攻击者们不需要欺骗性地获得一个证书,
加密对企业来说并不是非强制性的,而由于这一点,他们还需要考虑SSL检查。这可以由一个基于云的平台提供,就像Zscaler公司提供的服务一样,也可以由内部部署的装置提供,如微软、Arbor网络和Check Point提供的服务一样(举几个例子来说)。用户需要保证,当他们在网上通信时,他们的信息不会被未授权的一方截获,但企业需要一种方法来分辨哪些加密通信包含用户数据,哪些又携带着恶意指令。由于更多的攻击依靠SSL/TLS来避免受到传统网络监视工具的检查,所以企业需要采取措施来确保所有数据受到保护,有害通信无法悄悄地越过他们的防御。