调查:近半数恶意软件藏身TLS加密通信
最新研究显示,46%的恶意软件使用加密协议来逃避检测、与攻击者控制的服务器通信,以及渗漏数据。
攻击者大量使用传输层安全(TLS)加密协议隐藏恶意软件通信,给企业安全团队的应对带来了新挑战。
2021年第一季度,网络安全公司Sophos对恶意软件样本的分析发现,通过互联网与远程系统通信的恶意软件中,近半数(46%)使用了TLS协议。相比2020年23%的恶意软件工具使用TLS,这代表着100%的增长率。
增长迅猛的主要原因在于,网络罪犯越来越爱使用谷歌云服务、Pastebin、Discord和GitHub等合法TLS保护的云和Web服务,采用这些合法TLS服务托管恶意软件、存储被盗数据,以及进行控制与通信操作。另一个原因是,攻击者更多地采用Tor和其他基于TLS的网络代理来加密与恶意软件之间的通信。
Sophos高级威胁研究员Sean Gallagher称:“分析研究的主要收获是,筛查恶意软件时没有‘安全’域或‘安全’服务这种东西,传统防火墙防御基于信誉扫描,没有深度包检测,根本无法保护系统。”
Sophos的报告再次凸显出互联网加密迅速铺开的双刃剑本质。过去几年里,隐私倡导者、安全专家、浏览器制造商等群体大力宣传要广泛采用加密协议来保护互联网通信,防止互联网通信遭到间谍窃取和监控。
在他们的努力下,使用TLS的HTTPS协议几乎完全替代了老版HTTP协议。HTTPS最具影响力的拥护者谷歌表示,其美国境内资产上承载的流量中92%使用了TLS。这一比例在其他国家甚至更高。比如说,在比利时和印度,通往谷歌站点的流量中98%是加密的;在日本和巴西,这一比例是96%;而在德国,通往谷歌的流量里94%是加密的。