ההאקרים משתכללים: הכפילו את היקף הנוזקות המסתתרות בתעבורה מוצפנת

45% מהנוזקות שהחוקרים זיהו מינואר עד מרץ 2021 השתמשו ב-TLS כדי להסתיר תקשורת זדונית - לעומת 23% בתקופה המקבילה אשתקד

פרוטוקול פופולרי בקרב האקרים. TLS. מקור: BigStock

היקף הנוזקות המסתתרות בתעבורה מוצפנת הוכפל במהלך החודשים האחרונים, על רקע מאמצי התוקפים לעקוף כלי אבטחה – כך לפי מחקר חדש של סופוס. להערכת חוקרי סופוס, הטקטיקה, שהופכת לנפוצה יותר, משמשת תוקפים כדי להצפין ולארוז את התוכן של תקשורת זדונית, ובכך למנוע זיהוי במהלך ביצוע מתקפות.

על פי המחקר, חל זינוק בשימוש של עברייני סייבר בפרוטוקול TLS (ר"ת Transport Layer Security) במהלך התקפות. כך, 45% מהנוזקות שהחוקרים זיהו מינואר עד מרץ 2021 השתמשו ב-TLS כדי להסתיר תקשורת זדונית. זהו זינוק עצום – של כמעט פי שניים – לעומת הנתון שהיה בתקופה המקבילה ב-2020, ועמד על 23%.

לדברי שון גלאגר, חוקר איומים בכיר בסופוס, הגידול יכול להיות קשור לעלייה כוללת בשימוש ב-TLS על ידי שירותי רשת פופולריים בקרב גורמי איומים. "ה-TLS שינה, ללא ספק, את הפרטיות באינטרנט לטובה. אך עם כל הטוב שהוא מביא, הוא גם מקל מאוד על התוקפים בהורדה והתקנה של מודולים זדוניים ובחילוץ נתונים גנובים – ממש מתחת לאף של צוותי אבטחת המידע ורוב טכנולוגיות האבטחה", אמר. "התוקפים מנצלים שירותים בענן וברשת, המוגנים ב-TLS, כדי להנחית נוזקות ולקבל פיקוד ושליטה על מחשבי הקורבנות. הנוזקה לפגיעה ראשונית הוא 'הכוח החלוץ' של רוב המתקפות, ומטרתה להקים את המחנה בהמתנה לארטילריה הכבדה שתגיע לאחר מכן, כגון כופרות".

לדברי גלאגר, "חלק גדול מהעלייה בשימוש TLS על ידי נוזקות יכול להיות מקושר לשימוש מוגבר בשירותי אינטרנט וענן לגיטימיים המוגנים על ידי פרוטוקול זה, כגון גיטהאב, דיסקורד פסטבין ושירותי הענן של גוגל – אבל כמאגרים לרכיבי נוזקה, כיעדים לנתונים גנובים, ואפילו לצרכי משלוח פקודות לרשתות בוטנט ונוזקות אחרות. זה קשור גם לשימוש המוגבר ב-Tor ובפרוקסי רשת אחרים, מבוססי TLS, שמטרתם להסוות תקשורת זדונית בין נוזקות לבין השחקנים הפורסים אותן".

"ההאקרים נהנים מהמוניטין ה-'בטוח' של הפלטפורמות"

הוא הסביר כי "האתגר העיקרי בהתמודדות עם עבריינים המשתמשים בשירותים אלה הוא שהם לא רק מסתירים את פעילותם מכלי אבטחה, אלא גם נהנים מהמוניטין ה-'בטוח' של הפלטפורמות הידועות הללו. כמעט מחצית מכל הנוזקות המוצפנות עברו לשרתים בארצות הברית ובהודו ברבעון הראשון של השנה – דבר שניתן להסביר בחלקו על ידי שירותי הענן של גוגל, שהם היעד של 9% מכלל תקשורת ה-TSL הזדונית".

גלאגר ציין כי "זיהינו גם גידול בשימוש ב-TLS לצורך הפעלה של כופרות במהלך השנה האחרונה, ובמיוחד באמצעות כופרות המופעלות באופן ידני. הגידול בשימוש בהצפנת TLS במתקפות כופרה מותאמות אישית נעשה בצורה של כלים פוגעניים ומודולריים, המשתמשים ב-HTTPS לרוב תעבורת הקוד הזדוני על גבי TLS לטובת תקיפה ראשונית, כגון טוענים (Loaders), מצניחים (Droppers) ומתקיני נוזקה הנמצאים במסמכים כדוגמת BazarLoader, GoDrop ו-Zloader. השבוע חשפנו התקני פיירוול חדשים בסדרת XGS, עם הגנה מתקדמת נגד מתקפות סייבר. ההתקנים מציגים בדיקת תעבורתTLS , כולל תמיכת נייטיב ב- TLS 1.3ומהירות גבוהה פי חמישה מהמודלים האחרים שקיימים כיום בשוק".

לסיכום הוא אמר ש-"צוותי אבטחה כבר לא יכולים להרשות לעצמם להתעלם מתעבורה מוצפנת רק מאחר שהם חוששים מבעיות ומפגיעה בביצועים – הסיכון גדול מדי. צוותי האבטחה נדרשים לטפל בתעבורה המוצפנת המודרנית של האינטרנט, וכך ניתן לשפוך אור על מה שבעבר היה עבורם חור שחור".

תגובות

(0)

כתיבת תגובה

האימייל לא יוצג באתר.

אין לשלוח תגובות הכוללות דברי הסתה, דיבה, וסגנון החורג מהטעם הטוב

אירועים קרובים