信息化觀察網(wǎng)

最新研究顯示，46%的惡意軟件使用加密協(xié)議來(lái)逃避檢測(cè)、與攻擊者控制的服務(wù)器通信，以及滲漏數(shù)據(jù)。

攻擊者大量使用傳輸層安全（TLS）加密協(xié)議隱藏惡意軟件通信，給企業(yè)安全團(tuán)隊(duì)的應(yīng)對(duì)帶來(lái)了新挑戰(zhàn)。

2021年第一季度，網(wǎng)絡(luò)安全公司Sophos對(duì)惡意軟件樣本的分析發(fā)現(xiàn)，通過(guò)互聯(lián)網(wǎng)與遠(yuǎn)程系統(tǒng)通信的惡意軟件中，近半數(shù)（46%）使用了TLS協(xié)議。相比2020年23%的惡意軟件工具使用TLS，這代表著100%的增長(zhǎng)率。

增長(zhǎng)迅猛的主要原因在于，網(wǎng)絡(luò)罪犯越來(lái)越愛(ài)使用谷歌云服務(wù)、Pastebin、Discord和GitHub等合法TLS保護(hù)的云和Web服務(wù)，采用這些合法TLS服務(wù)托管惡意軟件、存儲(chǔ)被盜數(shù)據(jù)，以及進(jìn)行控制與通信操作。另一個(gè)原因是，攻擊者更多地采用Tor和其他基于TLS的網(wǎng)絡(luò)代理來(lái)加密與惡意軟件之間的通信。

Sophos高級(jí)威脅研究員Sean Gallagher稱：“分析研究的主要收獲是，篩查惡意軟件時(shí)沒(méi)有‘安全’域或‘安全’服務(wù)這種東西，傳統(tǒng)防火墻防御基于信譽(yù)掃描，沒(méi)有深度包檢測(cè)，根本無(wú)法保護(hù)系統(tǒng)。”

Sophos的報(bào)告再次凸顯出互聯(lián)網(wǎng)加密迅速鋪開(kāi)的雙刃劍本質(zhì)。過(guò)去幾年里，隱私倡導(dǎo)者、安全專家、瀏覽器制造商等群體大力宣傳要廣泛采用加密協(xié)議來(lái)保護(hù)互聯(lián)網(wǎng)通信，防止互聯(lián)網(wǎng)通信遭到間諜竊取和監(jiān)控。

在他們的努力下，使用TLS的HTTPS協(xié)議幾乎完全替代了老版HTTP協(xié)議。HTTPS最具影響力的擁護(hù)者谷歌表示，其美國(guó)境內(nèi)資產(chǎn)上承載的流量中92%使用了TLS。這一比例在其他國(guó)家甚至更高。比如說(shuō)，在比利時(shí)和印度，通往谷歌站點(diǎn)的流量中98%是加密的；在日本和巴西，這一比例是96%；而在德國(guó)，通往谷歌的流量里94%是加密的。

盡管HTTPS和TLS在電子郵件系統(tǒng)、VPN和其他領(lǐng)域中的整體采用率上升促進(jìn)了隱私和安全，但也給攻擊者利用同樣的加密技術(shù)隱藏其惡意軟件和惡意通信制造了機(jī)會(huì)，讓他們更容易躲過(guò)常規(guī)檢測(cè)機(jī)制。

Farsight Security總裁、首席執(zhí)行官兼聯(lián)合創(chuàng)始人，互聯(lián)網(wǎng)先鋒Paul Vixie表示：“我們構(gòu)建出來(lái)的東西，沒(méi)什么是壞人用不了的。”TLS背后的推動(dòng)力大多來(lái)自保護(hù)互聯(lián)網(wǎng)用戶的善意努力，想要讓專制國(guó)家的互聯(lián)網(wǎng)用戶免遭政府及其情報(bào)機(jī)構(gòu)攔截和窺探他們的在線通信。但這同樣的技術(shù)也讓攻擊者受益匪淺。打造只有益于持不同政見(jiàn)者的技術(shù)是不可能的。

?惡意用例多種多樣

Sophos的分析顯示，攻擊者將TLS用于滲漏數(shù)據(jù)、進(jìn)行命令與控制（C2）通信，以及在傳播惡意軟件時(shí)規(guī)避檢測(cè)系統(tǒng)。此類活動(dòng)中的絕大部分日常惡意TLS流量來(lái)自惡意軟件投放器、加載器和在已感染系統(tǒng)上下載其他惡意軟件的工具。

許多實(shí)例中，惡意軟件投放器和加載器使用Pastebin、Discord和GitHub等合法TLS支持的網(wǎng)站進(jìn)一步偽裝其惡意流量。Sophos指出了其中幾個(gè)案例，例如LockBit勒索軟件的一款基于PowerShell的投放器就通過(guò)TLS從Google Docs電子表格檢索惡意腳本，信息竊取軟件AgentTesla則從Pastebin抓取其他代碼。

Sophos還觀測(cè)到勒索軟件攻擊中TLS使用的增長(zhǎng)，尤其是在手動(dòng)部署惡意軟件的攻擊實(shí)例中。其中很大一部分增長(zhǎng)源自Metasploit和Cobalt Strike等攻擊性安全工具包的使用激增，此類工具包被大量用于執(zhí)行腳本、收集系統(tǒng)信息、抽取登錄憑證和執(zhí)行其他惡意活動(dòng)。

Gallagher表示：“我們看到TLS主要用于惡意軟件攻擊的前期階段，為專注手動(dòng)攻擊的工具所用。大多數(shù)遠(yuǎn)程訪問(wèn)木馬（RAT）和僵尸惡意軟件采用其他方法混淆或加密通信，比如硬編碼AES加密或更簡(jiǎn)單的定制編碼。”

與此同時(shí)，在數(shù)據(jù)滲漏攻擊中，攻擊者使用惡意軟件和其他方法將被盜數(shù)據(jù)封裝進(jìn)基于TLS的HTTPS POST請(qǐng)求，或者通過(guò)私有TLS連接將被盜數(shù)據(jù)導(dǎo)出到Telegram、Discord或其他云服務(wù)API。

目前，谷歌云服務(wù)和印度國(guó)有電信公司BSNL是最大的兩個(gè)惡意軟件“回連”目的地，分別占Sophos觀測(cè)到的全部惡意軟件TLS請(qǐng)求的9%和8%?？偟恼f(shuō)來(lái)，惡意軟件相關(guān)TLS通信中目前有一半直接通往位于美國(guó)和印度的服務(wù)器。

企業(yè)網(wǎng)絡(luò)上的一些惡意TLS流量不使用標(biāo)準(zhǔn)IP端口：443、80和8080。所以，惡意TLS使用的整個(gè)范圍可能會(huì)比在標(biāo)準(zhǔn)端口號(hào)上觀測(cè)到的要多。

?“隨機(jī)噪音”

Farsight創(chuàng)始人Vixie表示，下一代HTTP/3采用的QUIC互聯(lián)網(wǎng)傳輸協(xié)議和DNS over HTTPS（DoH）等新興標(biāo)準(zhǔn)，將會(huì)給企業(yè)安全團(tuán)隊(duì)帶來(lái)更復(fù)雜的局面。現(xiàn)有防火墻技術(shù)和其他檢測(cè)機(jī)制無(wú)法檢測(cè)經(jīng)由這些機(jī)制隱藏的惡意軟件。Vixie稱：“沒(méi)人能弄清到底發(fā)生了什么。他們能看到的全都是純粹的隨機(jī)噪音不斷涌來(lái)。根本無(wú)法分清隨機(jī)噪音中哪些是惡意的哪些是良性的。”

這種趨勢(shì)可能會(huì)讓企業(yè)被迫退回以往那種只放行已知合法流量的檢測(cè)模式：不在網(wǎng)絡(luò)邊緣放置防火墻，而是在網(wǎng)絡(luò)邊界設(shè)置代理，檢查所有進(jìn)出網(wǎng)絡(luò)的流量。來(lái)自網(wǎng)絡(luò)內(nèi)部的所有數(shù)據(jù)包都需要披露目的地址，然后應(yīng)用各種策略來(lái)確定是繼續(xù)發(fā)送，還是就此阻止。

實(shí)施此類檢測(cè)模式會(huì)帶很大不便。所以，企業(yè)可能必須考慮組織自身網(wǎng)絡(luò)拓?fù)?，讓不太敏感的?shù)據(jù)在控制更少的網(wǎng)絡(luò)上流轉(zhuǎn)，而敏感數(shù)據(jù)放在代理之后加以保護(hù)。