Malware-Betreiber nutzen TLS in 46 % der entdeckten Kommunikationen

Cyber Security News

Urs Holzle, Senior Vice President für technische Infrastruktur bei Google, spricht während einer Google I/O-Entwicklerkonferenz in San Francisco, Kalifornien, über die Google Cloud Platform. Ein großer Teil des Wachstums der TLS-Nutzung durch Malware-Betreiber wird auf die zunehmende Nutzung legitimer Web- und Cloud-Dienste zurückgeführt, die durch TLS geschützt sind, darunter Discord, Pastebin, Github und Googles Cloud-Dienste. (Foto: Stephen Lam/Getty Images)

Forscher haben herausgefunden, dass die Verwendung von Transport Layer Security (TLS) unter Malware-Betreibern von 23 % aller entdeckten Malware im Jahr 2020 auf heute fast 46 % angestiegen ist, da mittlerweile rund 98 % aller Webseitenbesuche über TLS abgewickelt werden.

In einem Blog-Post vom Mittwoch erklären die Sophos-Forscher, dass Malware-Betreiber TLS im Wesentlichen aus denselben Gründen einsetzen wie legitime Unternehmen: Um Verteidiger daran zu hindern, den Einsatz von Malware und Datendiebstahl zu erkennen und zu stoppen.

Sophos brachte einen großen Teil des Anstiegs der TLS-Nutzung durch Malware-Betreiber mit der zunehmenden Nutzung legitimer Web- und Cloud-Dienste in Verbindung, die durch TLS geschützt sind, darunter Discord, Pastebin, Github und die Cloud-Dienste von Google. Diese Sites sind zu Repositories für Malware-Komponenten und zu Zielorten für gestohlene Daten geworden und es ist bekannt, dass sie Befehle an Botnets und andere Malware senden. Sophos brachte die Verwendung von TLS unter Malware-Betreibern auch mit dem vermehrten Einsatz von Tor und anderen TLS-basierten Netzwerk-Proxys in Verbindung, um die schädliche Kommunikation zwischen Malware und den Bedrohungsakteuren, die den schädlichen Code einsetzen, zu kapseln.

Da die Verschlüsselung von Netzwerken und Daten zum Schutz von persönlichen Daten und Unternehmensdaten alltäglich geworden ist, haben laut Charles Herring, Mitbegründer und Chief Technology Officer von WitFoo, Cyberkriminelle zunehmend die gleichen Fortschritte bei der Verschlüsselung übernommen, um ihre eigene Privatsphäre bei der Durchführung von Angriffen zu schützen.

“Cybersecurity-Analysten und Ermittler mussten ihre Techniken anpassen, um diesen Verschleierungsansätzen von Kriminellen Rechnung zu tragen”, sagte Herring. “Moderne Ermittlungen erfordern das Verstehen, Bestätigen und Weiterentwickeln von Daten aus Endpunkten, Agenten, Servern, Netzwerk- und Cloud-Datenquellen. SecOps, die sich in der Vergangenheit auf die tiefe Analyse von Netzwerkpaketen verlassen haben, um Angreifer aufzuspüren, müssen Fähigkeiten und Taktiken in anderen Datendomänen entwickeln, um die Lücken zu schließen, die durch die allgegenwärtige Verschlüsselung entstehen.”

Zach Jones, Senior Director of Detection Research bei WhiteHat Security, sagte, dass die Entwicklung und das Wachstum von TLS von der klaren Erkenntnis angetrieben wurde, dass TLS als Grundvoraussetzung für die sichere Bereitstellung von Anwendungen dient.

“Das Einrichten von TLS für jede Anwendung – einschließlich Malware – ist sehr einfach geworden”, so Jones. “Daher ist es für Malware-Autoren eine einfache Möglichkeit, die Wahrscheinlichkeit zu verringern, dass ihre Befehls- und Kontrollkommunikation als bösartig eingestuft wird.”

Einige Teile dieses Artikels stammen aus:
www.scmagazine.com