Jak se podniky zlepšují v oblasti šifrování síťových přenosů pro ochranu dat před potenciálními útoky a vyzrazením, zdokonalují také on-line útočníci využití protokolu SSL/TLS (Secure Sockets Layer/Transport Layer Security) ke skrývání svých škodlivých aktivit.
V první polovině roku 2017 se v průměru 60 procent transakcí sledovaných bezpečnostní společností Zscaler přenášelo protokolem SSL/TLS, uvádějí její výzkumní pracovníci.
Růst využití protokolu SSL/TLS ale zahrnuje jak legitimní, tak i škodlivé aktivity, protože kriminálníci se při šíření jejich obsahu spoléhají na platné certifikáty SSL. Výzkumníci zaznamenali průměrně 300 případů denně v oblasti webových exploitů obsahujících protokol SSL jako součást infekčního řetězce.
„Zločinecký software stále více využívá protokol SSL/TLS,“ uvádí Deepen Desai, ředitel bezpečnostního výzkumu ve společnosti Zscaler. Škodlivý obsah přenášený přes protokol SSL/TLS se podle něj za posledních šest měsíců více než zdvojnásobil.
Zmíněná společnost zablokovala na platformě cloud Zscaler v první polovině roku 2017 denně průměrně 8,4 milionu škodlivých aktivit založených na protokolu SSL/TLS. Ze zablokovaných aktivit připadalo průměrně 600 tisíc případů denně na pokročilé hrozby.
Výzkumníci Zscaleru evidovali v první polovině roku 2017 denně 12 tisíc pokusů o phishing využívající protokol SSL/TLS, což je 400% nárůst od roku 2016.
Tato čísla přitom popisují jen část příběhu SSL/TLS, protože společnost Zscaler nezahrnula do tohoto výzkumu jiné typy útoků, jako jsou například adware kampaně používající protokol SSL/TLS k přenosům svého obsahu.
Dobrý vs. špatný
Když je většina podnikové síťové komunikace zašifrovaná, má z hlediska kyberzločinců smysl šifrovat také jejich aktivity, protože je potom pro správce IT těžší rozpoznat rozdíl mezi škodlivými a dobrými přenosy.
Rodiny malwaru stále více využívají protokol SSL k šifrování komunikace mezi kompromitovaným koncovým bodem a řídicími systémy, aby tak skryly přenášené pokyny, data a další informace. Počet zásilek doručovaných přes šifrovaná připojení se v prvních šesti měsících roku 2017 zdvojnásobil oproti roku 2016, uvádí Desai.
Přibližně 60 procent škodlivých přenosů využívajících protokol SSL/TLS pro činnost řízení (C&C – command and control) pocházelo z rodin bankovních trojských koní, jako jsou Zbot, Vawtrak a Trickbot, tvrdí zpráva společnosti Zscaler.
Dalších 12 procent byly rodiny trojských koní kradoucích informace, jako jsou například Fareit a Papra. Čtvrtina přenosů pak pocházela z rodin ransomwaru.
Phishingové gangy používají protokol SSL/TLS také, protože hostují své škodlivé stránky na webech s legitimními certifikáty. Uživatelé si pak myslí, že se nacházejí na platném webu, protože v prohlížeči vidí slovo „zabezpečený“ nebo ikonu visacího zámku.
Tyto indikátory ale znamenají jen to, že je samotný certifikát platný a spojení je šifrované. Není to tedy žádný příslib legitimity webu ani potvrzení toho, že je web tím, za co se vydává.
Diskuze nad certifikáty
Jediný způsob, jak se může uživatel dozvědět, zda je web skutečně vlastněn správným vlastníkem, je podívat se na skutečný certifikát. Některé prohlížeče to ulehčují zobrazováním jména vlastníka domény v prohlížeči namísto pouhého slova „zabezpečený“ či pouhé ikony visacího zámku.
Nejčastěji napodobované značky jsou Microsoft, LinkedIn a Adobe. Desai uvádí, že viděl phishingové stránky jako například nnicrosoft.com (kde dvě písmena „n“ vedle sebe vypadají jako písmeno „m“).
Další weby zneužívané phishingem zahrnují například prodejce Amazon, Google Drive, Outlook a DocuSign, uvádí Desai.
Za nárůst útoků pomocí protokolů SSL/TLS se ale nemohou vinit bezplatné certifikační autority (CA), jako je například Let’s Encrypt. Přestože tyto služby umožnily majitelům webových stránek mnohem snadnější a rychlejší získání certifikátů SSL, nejsou jediní, kdo omylem poskytují zločincům platné certifikáty.
Desai zmiňuje, že jeho tým viděl certifikáty i od uznávaných certifikačních autorit. Přestože v některých případech vydaly certifikační autority certifikáty, když neměly, ve většině případů byly vydané správně.
Zločinci zkrátka unesli a zneužili legitimní weby – obvykle dobře známé cloudové služby jako Office 365, SharePoint, Google Drive a Dropbox – k hostingu svého obsahu a ke shromažďování ukradených dat.
Desai například popsal, jak skupina útočníků s názvem CozyBear používala skripty PowerShell k připojení skrytého oddílu OneDrive ke kompromitovanému počítači a kopírovala všechna data na tuto skrytou jednotku.
Veškerá aktivita mezi počítačem a službou, v tomto případě službou OneDrive, je ve výchozím nastavení šifrovaná. Protože se služba OneDrive často používá pro firemní účely, nemusí si oddělení IT útoků všimnout.
Útočníci nepotřebují podvodně získat certifikát, protože služba OneDrive poskytuje tuto úroveň ochrany všem uživatelům.
Šifrování není pro podniky volitelné, a proto potřebují využívat inspekci SSL. To lze zajistit cloudovou platformou, jakou například nabízí výše zmíněná společnost Zscaler, nebo také appliancemi, které se nasadí in-line – to jsou produkty nabízené společnostmi Microsoft, Arbor Networks nebo Check Point (abychom jich jmenovali alespoň pár).
Uživatelé potřebují jistotu, že jejich informace nebudou odposlouchávat neoprávněné strany, když jsou on-line, ale na druhou stranu podniky potřebují mít nějaký způsob, jak zjistit, který šifrovaný přenos obsahuje uživatelská data a který škodlivé instrukce.
Protože rostoucí počet útoků využívá protokol SSL/TLS jako prevenci svého odhalení tradičními monitorovacími nástroji, musejí podniky udělat kroky, aby zajistily, že zůstanou všechna data chráněná a škodlivé přenosy přes jejich obranu neprojdou.
Tento příspěvek vyšel v Securityworldu 3/2017. Časopis (starší čísla i předplatné těch nadcházejících) si můžete objednat na adrese našeho vydavatelství.
PŘEDPLATNÉ
ČLÁNKY DO MAILU