最新研究顯示，46%的惡意軟件使用加密協(xié)議來逃避檢測、與攻擊者控制的服務(wù)器通信，以及滲漏數(shù)據(jù)。

　　攻擊者大量使用傳輸層安全（TLS）加密協(xié)議隱藏惡意軟件通信，給企業(yè)安全團(tuán)隊的應(yīng)對帶來了新挑戰(zhàn)。

　　2021年第一季度，網(wǎng)絡(luò)安全公司Sophos對惡意軟件樣本的分析發(fā)現(xiàn)，通過互聯(lián)網(wǎng)與遠(yuǎn)程系統(tǒng)通信的惡意軟件中，近半數(shù)（46%）使用了TLS協(xié)議。相比2020年23%的惡意軟件工具使用TLS，這代表著100%的增長率。

　　增長迅猛的主要原因在于，網(wǎng)絡(luò)罪犯越來越愛使用谷歌云服務(wù)、Pastebin、Discord和GitHub等合法TLS保護(hù)的云和Web服務(wù)，采用這些合法TLS服務(wù)托管惡意軟件、存儲被盜數(shù)據(jù)，以及進(jìn)行控制與通信操作。另一個原因是，攻擊者更多地采用Tor和其他基于TLS的網(wǎng)絡(luò)代理來加密與惡意軟件之間的通信。

　　Sophos高級威脅研究員Sean Gallagher稱：“分析研究的主要收獲是，篩查惡意軟件時沒有‘安全’域或‘安全’服務(wù)這種東西，傳統(tǒng)防火墻防御基于信譽掃描，沒有深度包檢測，根本無法保護(hù)系統(tǒng)?！?/p>

　　Sophos的報告再次凸顯出互聯(lián)網(wǎng)加密迅速鋪開的雙刃劍本質(zhì)。過去幾年里，隱私倡導(dǎo)者、安全專家、瀏覽器制造商等群體大力宣傳要廣泛采用加密協(xié)議來保護(hù)互聯(lián)網(wǎng)通信，防止互聯(lián)網(wǎng)通信遭到間諜竊取和監(jiān)控。

　　在他們的努力下，使用TLS的HTTPS協(xié)議幾乎完全替代了老版HTTP協(xié)議。HTTPS最具影響力的擁護(hù)者谷歌表示，其美國境內(nèi)資產(chǎn)上承載的流量中92%使用了TLS。這一比例在其他國家甚至更高。比如說，在比利時和印度，通往谷歌站點的流量中98%是加密的；在日本和巴西，這一比例是96%；而在德國，通往谷歌的流量里94%是加密的。

　　盡管HTTPS和TLS在電子郵件系統(tǒng)、VPN和其他領(lǐng)域中的整體采用率上升促進(jìn)了隱私和安全，但也給攻擊者利用同樣的加密技術(shù)隱藏其惡意軟件和惡意通信制造了機(jī)會，讓他們更容易躲過常規(guī)檢測機(jī)制。

　　Farsight Security總裁、首席執(zhí)行官兼聯(lián)合創(chuàng)始人，互聯(lián)網(wǎng)先鋒Paul Vixie表示：“我們構(gòu)建出來的東西，沒什么是壞人用不了的?！盩LS背后的推動力大多來自保護(hù)互聯(lián)網(wǎng)用戶的善意努力，想要讓專制國家的互聯(lián)網(wǎng)用戶免遭政府及其情報機(jī)構(gòu)攔截和窺探他們的在線通信。但這同樣的技術(shù)也讓攻擊者受益匪淺。打造只有益于持不同政見者的技術(shù)是不可能的。

　　 惡意用例多種多樣

　　Sophos的分析顯示，攻擊者將TLS用于滲漏數(shù)據(jù)、進(jìn)行命令與控制（C2）通信，以及在傳播惡意軟件時規(guī)避檢測系統(tǒng)。此類活動中的絕大部分日常惡意TLS流量來自惡意軟件投放器、加載器和在已感染系統(tǒng)上下載其他惡意軟件的工具。

　　許多實例中，惡意軟件投放器和加載器使用Pastebin、Discord和GitHub等合法TLS支持的網(wǎng)站進(jìn)一步偽裝其惡意流量。Sophos指出了其中幾個案例，例如LockBit勒索軟件的一款基于PowerShell的投放器就通過TLS從Google Docs電子表格檢索惡意腳本，信息竊取軟件AgentTesla則從Pastebin抓取其他代碼。

　　Sophos還觀測到勒索軟件攻擊中TLS使用的增長，尤其是在手動部署惡意軟件的攻擊實例中。其中很大一部分增長源自Metasploit和Cobalt Strike等攻擊性安全工具包的使用激增，此類工具包被大量用于執(zhí)行腳本、收集系統(tǒng)信息、抽取登錄憑證和執(zhí)行其他惡意活動。

　　Gallagher表示：“我們看到TLS主要用于惡意軟件攻擊的前期階段，為專注手動攻擊的工具所用。大多數(shù)遠(yuǎn)程訪問木馬（RAT）和僵尸惡意軟件采用其他方法混淆或加密通信，比如硬編碼AES加密或更簡單的定制編碼?！?/p>

　　與此同時，在數(shù)據(jù)滲漏攻擊中，攻擊者使用惡意軟件和其他方法將被盜數(shù)據(jù)封裝進(jìn)基于TLS的HTTPS POST請求，或者通過私有TLS連接將被盜數(shù)據(jù)導(dǎo)出到Telegram、Discord或其他云服務(wù)API。

　　目前，谷歌云服務(wù)和印度國有電信公司BSNL是最大的兩個惡意軟件“回連”目的地，分別占Sophos觀測到的全部惡意軟件TLS請求的9%和8%。總的說來，惡意軟件相關(guān)TLS通信中目前有一半直接通往位于美國和印度的服務(wù)器。

　　企業(yè)網(wǎng)絡(luò)上的一些惡意TLS流量不使用標(biāo)準(zhǔn)IP端口：443、80和8080。所以，惡意TLS使用的整個范圍可能會比在標(biāo)準(zhǔn)端口號上觀測到的要多。

　　? “隨機(jī)噪音”

　　Farsight創(chuàng)始人Vixie表示，下一代HTTP/3采用的QUIC互聯(lián)網(wǎng)傳輸協(xié)議和DNS over HTTPS（DoH）等新興標(biāo)準(zhǔn)，將會給企業(yè)安全團(tuán)隊帶來更復(fù)雜的局面?，F(xiàn)有防火墻技術(shù)和其他檢測機(jī)制無法檢測經(jīng)由這些機(jī)制隱藏的惡意軟件。Vixie稱：“沒人能弄清到底發(fā)生了什么。他們能看到的全都是純粹的隨機(jī)噪音不斷涌來。根本無法分清隨機(jī)噪音中哪些是惡意的哪些是良性的?！?/p>

　　這種趨勢可能會讓企業(yè)被迫退回以往那種只放行已知合法流量的檢測模式：不在網(wǎng)絡(luò)邊緣放置防火墻，而是在網(wǎng)絡(luò)邊界設(shè)置代理，檢查所有進(jìn)出網(wǎng)絡(luò)的流量。來自網(wǎng)絡(luò)內(nèi)部的所有數(shù)據(jù)包都需要披露目的地址，然后應(yīng)用各種策略來確定是繼續(xù)發(fā)送，還是就此阻止。

　　實施此類檢測模式會帶很大不便。所以，企業(yè)可能必須考慮組織自身網(wǎng)絡(luò)拓?fù)?，讓不太敏感的?shù)據(jù)在控制更少的網(wǎng)絡(luò)上流轉(zhuǎn)，而敏感數(shù)據(jù)放在代理之后加以保護(hù)。