TLS-verschlüsseltes Malware-Volumen verdoppelt sich in nur wenigen Monaten

Cyber Security News

Laut Sophos hat sich das Volumen von Malware, die in verschlüsseltem Datenverkehr versteckt ist, in den letzten Monaten verdoppelt, da Bedrohungsakteure versuchen, Sicherheits-Tools zu umgehen.

Der Sicherheitsanbieter gab an, dass 23 % der im Jahr 2020 entdeckten Malware mit dem Transport Layer Security (TLS)-Protokoll verschlüsselt war. In den ersten drei Monaten des Jahres 2021 war die Zahl jedoch auf fast 46 % gestiegen.

Der Anstieg kann mit einer allgemeinen Zunahme der Verwendung von TLS durch beliebte Webdienste in Verbindung gebracht werden, die von Bedrohungsakteuren missbraucht werden, erklärte der leitende Bedrohungsforscher Sean Gallagher.

“Ein großer Teil des Anstiegs der allgemeinen TLS-Nutzung durch Malware kann zum Teil mit der verstärkten Nutzung legitimer, durch TLS geschützter Web- und Cloud-Dienste – wie Discord, Pastebin, GitHub und Googles Cloud-Dienste – als Repositories für Malware-Komponenten, als Ziele für gestohlene Daten und sogar zum Senden von Befehlen an Botnets und andere Malware in Verbindung gebracht werden”, erklärte er.

“Es steht auch im Zusammenhang mit der zunehmenden Verwendung von Tor und anderen TLS-basierten Netzwerk-Proxys, um die bösartige Kommunikation zwischen Malware und den Akteuren, die sie einsetzen, zu kapseln.”

Die Herausforderung bei der Nutzung dieser Dienste durch Kriminelle besteht darin, dass sie ihre Aktivitäten nicht nur vor Sicherheitstools verbergen, sondern auch von dem “sicheren” Ruf dieser bekannten Plattformen profitieren, so Gallagher.

Fast die Hälfte aller verschlüsselten Malware ging im 1. Quartal 2021 an Server in den USA und Indien, was zum Teil durch die Cloud-Dienste von Google – das Ziel für 9 % der TLS-Malware-Aufrufe – und Indiens BSNL (6 %) erklärt werden kann.

Gallagher sagte, dass Sophos auch einen Anstieg der Verwendung von TLS-Verschlüsselung in maßgeschneiderten Ransomware-Angriffen in Form von “modularen Offensiv-Tools” gesehen hat, die HTTPS verwenden. Die überwiegende Mehrheit des schädlichen TLS-Verkehrs stammt jedoch von Malware, die auf die anfängliche Kompromittierung eines Opfers abzielt – zum Beispiel Loader, Dropper und dokumentenbasierte Installationsprogramme, fügte er hinzu.

TLS-Verschlüsselung wird auch verwendet, um die Exfiltration von Daten aus kompromittierten Netzwerken und C&C-Kommunikation zu verbergen, sagte Gallagher.

Einige Teile dieses Artikels stammen aus:
www.infosecurity-magazine.com