Casi la mitad de todo el malware está oculto en …



El cuarenta y seis por ciento de todo el malware utiliza el protocolo criptográfico para evadir la detección, comunicarse con servidores controlados por atacantes y exfiltrar datos, muestra un nuevo estudio.

Los actores de amenazas han aumentado considerablemente el uso del protocolo criptográfico Transport Layer Safety (TLS) para ocultar las comunicaciones de malware, creando nuevos desafíos para los equipos de seguridad empresarial en el proceso.

Un análisis de Sophos de las muestras de malware observadas durante los primeros tres meses de 2021 mostró que el 46%, o casi la mitad, de todo el malware que se comunicaba con un sistema remoto a través de Web usaba TLS para ese propósito. Esto representa un aumento del 100% desde 2020, cuando el 23% de las herramientas de malware usaban TLS.

Una de las principales razones del aumento es la creciente práctica entre los ciberdelincuentes de utilizar servicios net y en la nube protegidos por TLS legítimos, como los servicios en la nube de Google, Pastebin, Discord y Github para alojar malware o almacenar datos robados, y para sus operaciones de comando y comunicación. También contribuye al crecimiento el mayor uso por parte de los atacantes de Tor y otros proxies de red basados ​​en TLS para cifrar las comunicaciones entre el malware y los actores de amenazas detrás de ellos, dijo Sophos.

«La principal conclusión es que no existe un dominio o servicio &#39seguro&#39 cuando se realiza la detección de malware, y que las defensas de firewall más tradicionales basadas en el escaneo de reputación sin una inspección profunda de paquetes no pueden proteger los sistemas», dice Sean Gallagher, investigador senior de amenazas. en Sophos.

La Informe de Sophos es el último en resaltar la naturaleza de doble filo del uso creciente del cifrado en Internet. En los últimos años, los defensores de la privacidad, los expertos en seguridad, los fabricantes de navegadores y otros han impulsado la adopción generalizada de protocolos criptográficos para proteger las comunicaciones de Online del espionaje y la vigilancia.

Los esfuerzos han dado como resultado el protocolo HTTPS, que united states of america TLS, reemplazando casi por completo al antiguo protocolo HTTP. Según Google—Uno de los defensores más influyentes de HTTPS— el 92% del tráfico que llega a sus propiedades en línea en los EE. UU. Utiliza TLS. El porcentaje es mayor en otros países. En Bélgica e India, por ejemplo, el 98% del tráfico a los sitios de Google está encriptado en Japón y Brasil, el número es del 96%, y en Alemania, del 94%.

Si bien el mayor uso de HTTPS y TLS en basic (en sistemas de correo electrónico, VPN y otras áreas) ha permitido una mayor privacidad y seguridad, también ha brindado a los atacantes una forma de utilizar la misma tecnología para ocultar sus comunicaciones de malware y malware de los mecanismos de detección convencionales. .

«No hay nada que podamos construir que los malos no puedan usar», dice el pionero de Online Paul Vixie, presidente, director ejecutivo y cofundador de Farsight Stability. Gran parte del ímpetu detrás de TLS provino de esfuerzos bien intencionados para proteger a los usuarios de Online, especialmente en países represivos, de que sus comunicaciones en línea sean interceptadas y fisgoneadas por los gobiernos y sus agencias de inteligencia. Pero la misma tecnología también ha beneficiado a los atacantes, dice. «No hay forma de construir tecnología que solo beneficie a los disidentes», dice.

Variedad de casos de uso maliciosos
El análisis de Sophos mostró que los atacantes están utilizando TLS para exfiltrar datos, llevar a cabo comunicaciones de comando y control y evadir los sistemas de detección cuando distribuyen malware. De esa actividad, una gran mayoría del tráfico TLS malicioso del día a día provino de lanzadores de malware, cargadores y herramientas de malware que descargan malware adicional en sistemas ya comprometidos.

En muchos casos, los lanzadores y cargadores de malware utilizaron sitios web legítimos compatibles con TLS como Pastebin, Discord y GitHub para disfrazar aún más el tráfico. Sophos señaló algunos ejemplos, como un cuentagotas basado en PowerShell para el ransomware LockBit que recupera scripts maliciosos de una hoja de cálculo de Google Docs a través de TLS, y el ladrón de información AgentTesla que obtiene código adicional de Pastebin.

Sophos también observó un aumento en el uso de TLS en los ataques de ransomware, especialmente en los casos en los que el malware se implementó manualmente. Mucho de esto se debió a un aumento en el uso de kits de herramientas de seguridad ofensivos como Metasploit y Cobalt Strike para ejecutar scripts, recolectar información del sistema, extraer credenciales y llevar a cabo otras actividades maliciosas.

«Vemos que TLS se united states of america predominantemente en las primeras etapas de un ataque de malware y por herramientas enfocadas en ataques manuales», dice Gallagher. «La mayoría de los malware RAT y bot utilizan otros medios para ocultar o cifrar las comunicaciones, como el cifrado AES codificado o una codificación personalizada más sencilla».

Mientras tanto, en la exfiltración de datos, los actores de amenazas están utilizando malware que, entre otras cosas, puede encapsular los datos robados en un HTTPS Article basado en TLS o exportarlos a través de una conexión TLS privada a Telegram, Discord u otras API de servicios en la nube, según el estudio de Sophos. .

Los servicios en la nube de Google y BSNL de la India son actualmente los dos destinos de «casa de llamada» de malware más grandes y representan el 9% y el 8% de todas las solicitudes de TLS de malware que observó Sophos. En general, la mitad de todas las comunicaciones TLS relacionadas con malware se dirigen actualmente a servidores en EE. UU. E India.

Parte del tráfico TLS malintencionado en las redes empresariales utiliza puertos distintos de los puertos IP estándar: 443, 80 y 8080. Por lo tanto, el rango completo de uso de TLS malintencionado puede ser mayor que lo que se observa en los números de puerto estándar, concluyó Sophos.

&#39Ruido aleatorio&#39
Vixie de Farsight dice que los estándares emergentes como el protocolo de transporte de Online QUIC en el que se basa HTTP / 3 de próxima generación y DNS sobre HTTPS complicarán aún más las cosas para los equipos de seguridad empresarial. La tecnología de firewall existente y otros mecanismos de detección no podrán detectar malware oculto a través de estos mecanismos. «Nadie podrá entender lo que está pasando», dice Vixie. «Todo lo que podrán ver es ruido aleatorio puro entrando», dice. «No podrán distinguir un poco de ruido aleatorio del otro».

La tendencia probablemente resultará en que las organizaciones se vean obligadas a utilizar modelos más antiguos en los que no permiten nada, excepto lo que saben que es tráfico legítimo: en lugar de tener firewalls en el borde de la purple, un proxy se ubicaría en la frontera e inspeccionaría todo el tráfico que ingresa. y salir de la pink. Todos los paquetes provenientes del inside de la pink tendrían que revelar el destino, y luego se aplicarían políticas para determinar si enviarlo hacia adelante o bloquearlo, dice.

Implementar un modelo de este tipo probablemente será muy inconveniente, dice Vixie. En cambio, es posible que las organizaciones deban considerar organizar la topología de su pink para que los datos menos sensibles se ejecuten en la crimson con menos controles y los datos sensibles se coloquen detrás de un proxy.

Jai Vijayan es un reportero de tecnología experimentado con más de 20 años de experiencia en el periodismo comercial de TI. Más recientemente, fue editor senior en Computerworld, donde cubrió temas de seguridad de la información y privacidad de datos para la publicación. En el transcurso de sus 20 años … Ver biografía completa

Lectura recomendada:

Más información





Enlace a la noticia unique