最新研究顯示，46%的惡意軟件使用加密協(xié)議來逃避檢測、與攻擊者控制的服務(wù)器通信，以及滲漏數(shù)據(jù)。

攻擊者大量使用傳輸層安全(TLS)加密協(xié)議隱藏惡意軟件通信，給企業(yè)安全團隊的應(yīng)對帶來了新挑戰(zhàn)。

[[396460]]

2021年第一季度，網(wǎng)絡(luò)安全公司Sophos對惡意軟件樣本的分析發(fā)現(xiàn)，通過互聯(lián)網(wǎng)與遠(yuǎn)程系統(tǒng)通信的惡意軟件中，近半數(shù)(46%)使用了TLS協(xié)議。相比2020年23%的惡意軟件工具使用TLS，這代表著100%的增長率。

增長迅猛的主要原因在于，網(wǎng)絡(luò)罪犯越來越愛使用谷歌云服務(wù)、Pastebin、Discord和GitHub等合法TLS保護(hù)的云和Web服務(wù)，采用這些合法TLS服務(wù)托管惡意軟件、存儲被盜數(shù)據(jù)，以及進(jìn)行控制與通信操作。另一個原因是，攻擊者更多地采用Tor和其他基于TLS的網(wǎng)絡(luò)代理來加密與惡意軟件之間的通信。

Sophos高級威脅研究員Sean Gallagher稱：“分析研究的主要收獲是，篩查惡意軟件時沒有‘安全’域或‘安全’服務(wù)這種東西，傳統(tǒng)防火墻防御基于信譽掃描，沒有深度包檢測，根本無法保護(hù)系統(tǒng)。”

Sophos的報告再次凸顯出互聯(lián)網(wǎng)加密迅速鋪開的雙刃劍本質(zhì)。過去幾年里，隱私倡導(dǎo)者、安全專家、瀏覽器制造商等群體大力宣傳要廣泛采用加密協(xié)議來保護(hù)互聯(lián)網(wǎng)通信，防止互聯(lián)網(wǎng)通信遭到間諜竊取和監(jiān)控。

在他們的努力下，使用TLS的HTTPS協(xié)議幾乎完全替代了老版HTTP協(xié)議。HTTPS最具影響力的擁護(hù)者谷歌表示，其美國境內(nèi)資產(chǎn)上承載的流量中92%使用了TLS。這一比例在其他國家甚至更高。比如說，在比利時和印度，通往谷歌站點的流量中98%是加密的;在日本和巴西，這一比例是96%;而在德國，通往谷歌的流量里94%是加密的。

盡管HTTPS和TLS在電子郵件系統(tǒng)、虛擬專用網(wǎng)和其他領(lǐng)域中的整體采用率上升促進(jìn)了隱私和安全，但也給攻擊者利用同樣的加密技術(shù)隱藏其惡意軟件和惡意通信制造了機會，讓他們更容易躲過常規(guī)檢測機制。

Farsight Security總裁、首席執(zhí)行官兼聯(lián)合創(chuàng)始人，互聯(lián)網(wǎng)先鋒Paul Vixie表示：“我們構(gòu)建出來的東西，沒什么是壞人用不了的。”TLS背后的推動力大多來自保護(hù)互聯(lián)網(wǎng)用戶的善意努力，想要讓專制國家的互聯(lián)網(wǎng)用戶免遭政府及其情報機構(gòu)攔截和窺探他們的在線通信。但這同樣的技術(shù)也讓攻擊者受益匪淺。打造只有益于持不同政見者的技術(shù)是不可能的。

▶ 惡意用例多種多樣

Sophos的分析顯示，攻擊者將TLS用于滲漏數(shù)據(jù)、進(jìn)行命令與控制(C2)通信，以及在傳播惡意軟件時規(guī)避檢測系統(tǒng)。此類活動中的絕大部分日常惡意TLS流量來自惡意軟件投放器、加載器和在已感染系統(tǒng)上下載其他惡意軟件的工具。

許多實例中，惡意軟件投放器和加載器使用Pastebin、Discord和GitHub等合法TLS支持的網(wǎng)站進(jìn)一步偽裝其惡意流量。Sophos指出了其中幾個案例，例如LockBit勒索軟件的一款基于PowerShell的投放器就通過TLS從Google Docs電子表格檢索惡意腳本，信息竊取軟件AgentTesla則從Pastebin抓取其他代碼。

Sophos還觀測到勒索軟件攻擊中TLS使用的增長，尤其是在手動部署惡意軟件的攻擊實例中。其中很大一部分增長源自Metasploit和Cobalt Strike等攻擊性安全工具包的使用激增，此類工具包被大量用于執(zhí)行腳本、收集系統(tǒng)信息、抽取登錄憑證和執(zhí)行其他惡意活動。

Gallagher表示：“我們看到TLS主要用于惡意軟件攻擊的前期階段，為專注手動攻擊的工具所用。大多數(shù)遠(yuǎn)程訪問木馬(RAT)和僵尸惡意軟件采用其他方法混淆或加密通信，比如硬編碼AES加密或更簡單的定制編碼。”

與此同時，在數(shù)據(jù)滲漏攻擊中，攻擊者使用惡意軟件和其他方法將被盜數(shù)據(jù)封裝進(jìn)基于TLS的HTTPS POST請求，或者通過私有TLS連接將被盜數(shù)據(jù)導(dǎo)出到Telegram、Discord或其他云服務(wù)API。

目前，谷歌云服務(wù)和印度國有電信公司BSNL是最大的兩個惡意軟件“回連”目的地，分別占Sophos觀測到的全部惡意軟件TLS請求的9%和8%。總的說來，惡意軟件相關(guān)TLS通信中目前有一半直接通往位于美國和印度的服務(wù)器。

企業(yè)網(wǎng)絡(luò)上的一些惡意TLS流量不使用標(biāo)準(zhǔn)IP端口：443、80和8080。所以，惡意TLS使用的整個范圍可能會比在標(biāo)準(zhǔn)端口號上觀測到的要多。

▶ “隨機噪音”

Farsight創(chuàng)始人Vixie表示，下一代HTTP/3采用的QUIC互聯(lián)網(wǎng)傳輸協(xié)議和DNS over HTTPS(DoH)等新興標(biāo)準(zhǔn)，將會給企業(yè)安全團隊帶來更復(fù)雜的局面。現(xiàn)有防火墻技術(shù)和其他檢測機制無法檢測經(jīng)由這些機制隱藏的惡意軟件。Vixie稱：“沒人能弄清到底發(fā)生了什么。他們能看到的全都是純粹的隨機噪音不斷涌來。根本無法分清隨機噪音中哪些是惡意的哪些是良性的。”

這種趨勢可能會讓企業(yè)被迫退回以往那種只放行已知合法流量的檢測模式：不在網(wǎng)絡(luò)邊緣放置防火墻，而是在網(wǎng)絡(luò)邊界設(shè)置代理，檢查所有進(jìn)出網(wǎng)絡(luò)的流量。來自網(wǎng)絡(luò)內(nèi)部的所有數(shù)據(jù)包都需要披露目的地址，然后應(yīng)用各種策略來確定是繼續(xù)發(fā)送，還是就此阻止。

實施此類檢測模式會帶很大不便。所以，企業(yè)可能必須考慮組織自身網(wǎng)絡(luò)拓?fù)洌尣惶舾械臄?shù)據(jù)在控制更少的網(wǎng)絡(luò)上流轉(zhuǎn)，而敏感數(shù)據(jù)放在代理之后加以保護(hù)。