公司企業(yè)在加密網(wǎng)絡(luò)流量防護(hù)潛在數(shù)據(jù)泄露方面越做越好,在線攻擊者也隨之更進(jìn)一步,用SSL/TLS來(lái)隱藏他們的惡意活動(dòng)。
2017年上半年,安全公司Zscaler觀測(cè)到的所有交易中,平均有60%都是通過SSL/TLS進(jìn)行的。SSL/TLS使用的增長(zhǎng)包含了合法行為和惡意活動(dòng)兩方面——罪犯依靠合法SSL證書散布其惡意內(nèi)容。平均每天有300次網(wǎng)頁(yè)漏洞利用包含了作為感染鏈一環(huán)的SSL。
Zscaler安全研究高級(jí)主管迪鵬·德賽稱:“犯罪軟件家族越來(lái)越多地使用SSL/TLS。過去6個(gè)月里,通過SSL/TLS散布的惡意內(nèi)容翻了2倍多。”Zscaler云平臺(tái)上,2017年上半年平均每天封鎖840萬(wàn)次基于SSL/TLS的惡意活動(dòng)。被封的惡意活動(dòng)中,平均每天有60萬(wàn)起是高級(jí)威脅。Zscaler的研究人員在2017年上半年里,每天都要見證通過SSL/TLS投送的1.2萬(wàn)次網(wǎng)絡(luò)釣魚嘗試——比2016年同期增長(zhǎng)了400%。
這些數(shù)字還只反映了SSL/TLS的一部分現(xiàn)狀,因?yàn)閆scaler并沒有包含進(jìn)其他類型的攻擊,比如使用SSL/TLS投送載荷的廣告軟件。
當(dāng)企業(yè)網(wǎng)絡(luò)流量被加密,從罪犯的角度出發(fā),加密他們的犯罪活動(dòng)也就有利可圖了——IT管理員面對(duì)同樣加了密的流量更難以區(qū)分其中好壞。惡意軟件家族也越來(lái)越多地用SSL加密受害終端與C2系統(tǒng)之間的通信,可以隱藏指令、載荷和其他要發(fā)送的信息。與去年同期相比,2017年上半年通過加密連接發(fā)送的攻擊載荷翻了個(gè)倍。
用SSL/TLS進(jìn)行C2通信的惡意負(fù)載,有60%來(lái)自銀行木馬,比如Zbot、Vawtrak和Trickbot。另有12%是信息盜取木馬,比如Fareit和Papra。1/4的載荷來(lái)自勒索軟件。
網(wǎng)絡(luò)釣魚團(tuán)伙也使用SSL/TLS,他們將自己的惡意頁(yè)面托管在有合法證書的網(wǎng)站上。用戶看到“安全”字樣或?yàn)g覽器上的綠色小鎖頭,就以為自己訪問的是合法網(wǎng)站,沒有認(rèn)識(shí)到這些標(biāo)識(shí)僅僅表明證書本身有效,以及連接是加密的。網(wǎng)站本身的合法性,甚至網(wǎng)頁(yè)內(nèi)容是否屬實(shí),并不在這些標(biāo)識(shí)的保證范圍內(nèi)。
用戶分辨網(wǎng)站所有人真實(shí)性的唯一辦法,是查看實(shí)際的證書。有些瀏覽器會(huì)顯示域名擁有者的名字,而不僅僅是“安全”字樣或小鎖頭標(biāo)志,這樣會(huì)更便于用戶判斷。
微軟、領(lǐng)英和Adobe是最常見的被假冒品牌。nnicrosoft.com(用兩個(gè)連續(xù)的“n”試圖偽裝成“m”)這樣的網(wǎng)絡(luò)釣魚網(wǎng)站也是存在的。被網(wǎng)絡(luò)釣魚團(tuán)伙濫用的其他網(wǎng)站包括 Amazon Seller、Google Drive、Outlook和DocuSign。
不能將SSL/TLS攻擊的上升歸咎到 Let’s Encrypt 之類免費(fèi)證書頒發(fā)機(jī)構(gòu)頭上。雖然這些服務(wù)讓網(wǎng)站擁有者更快更方便地獲取SSL證書,但他們并不是錯(cuò)誤頒發(fā)有效證書給罪犯的唯一實(shí)體。老牌CA也會(huì)將證書錯(cuò)發(fā)給罪犯。而且,盡管某些案例中CA把證書頒發(fā)給了不應(yīng)該頒發(fā)的對(duì)象,但大多數(shù)案例中,證書都還是發(fā)對(duì)了人的。只是罪犯劫持并濫用了合法站點(diǎn)而已——往往是著名的云服務(wù),比如 Office 365、SharePoint、Google Drive 和Dropbox,用這些合法站點(diǎn)托管攻擊載荷,收集滲漏出來(lái)的數(shù)據(jù)。
比如說,安逸熊(CozyBear)黑客組織就用PowerShell腳本在被黑主機(jī)上掛載了隱藏OneDrive分區(qū),并將所有數(shù)據(jù)拷貝到了該隱藏分區(qū)。主機(jī)和服務(wù)(OneDrive)間的所有活動(dòng),都默認(rèn)加密,且由于OneDrive常作業(yè)務(wù)用途,IT部門往往注意不到這些攻擊。攻擊者不需要欺騙性地獲取一個(gè)證書,因?yàn)镺neDrive為所有用戶提供該層級(jí)的保護(hù)。
對(duì)企業(yè)而言,加密不是可選項(xiàng),因此,他們還需要考慮SSL檢查。基于云的平臺(tái),比如Zscaler,可以提供此類服務(wù),或者內(nèi)聯(lián)部署的應(yīng)用也行,比如微軟、Arbor Networks 和 Check Point 等公司提供的那些。
用戶需要有自己的信息不被未授權(quán)方攔截的保證,但企業(yè)需要途徑知道哪些加密流量包含用戶數(shù)據(jù),哪些承載了惡意指令。隨著更多的攻擊依賴SSL/TLS來(lái)避免被傳統(tǒng)網(wǎng)絡(luò)監(jiān)視工具審查,企業(yè)需要采取措施確保所有數(shù)據(jù)受到保護(hù),而壞流量不能偷偷翻過他們的防護(hù)。