恶意软件通信协议的应用现状分析

恶意软件通信协议的应用现状分析

一、简介

随着越来越多的互联网通信使用传输层安全的协议，调查发现使用TLS加密通信的恶意软件数量也在一年内翻了一番。
过去十年，传输层安全一直是互联网通信的隐私和安全的最大贡献者之一。TLS加密协议用于保护越来越多的互联网、消息和应用数据流量的安全。安全的HTTP (HTTPS) web协议、StartTLS电子邮件协议、Tor匿名网络和基于OpenVPN协议的虚拟专用网络都利用TLS来进行加密和封装，保护它们在传输过程中不被窃取或修改。
在大规模互联网监控被揭露之后，TLS的使用已经增长到可以覆盖大部分互联网通信。根据谷歌的浏览器数据，HTTPS的使用已经从2014年的40%增长到2021年3月的98%。
因此，恶意软件运营商为了逃避检测，采用TLS也就不足为奇了。过去一年，使用TLS来隐藏通信的恶意软件急剧增长。2020年，Sophos检测到的通过互联网与远程系统通信的恶意软件中，有23种使用TLS，如今这一比例接近46%。

2021年前三个月的恶意软件通信细目
还有相当一部分TLS通信使用的不是默认的443端口，例如恶意软件使用Tor或SOCKS代理通过非标准端口号。Sophos查询了与443、80和8080以外的端口上恶意互联网通信相关的主机名的证书透明度日志，发现49%的主机拥有由证书颁发机构(CA)颁发的TLS证书。其他手工检查的一小部分使用了自签名证书。
但恶意软件对TLS使用的增长，很大一部分原因是因为使用了合法的网络和云服务，这些服务受到TLS保护，如Discord、Pastebin、Github和谷歌的云服务，它们通常被用来存放恶意软件和被窃取的数据，甚至作为僵尸网络和其他恶意软件的命令和控制服务器。除此之外，还与Tor和其他基于TLS的网络代理的使用增加有关，这些代理用于封装恶意软件与攻击者之间的恶意通信。

2021年前三个月TLS恶意软件“callhome”流量目标细分
从恶意流量占比来看，与谷歌云服务的通信，占恶意TLS通信的9% ，印度的BSNL紧随其后。在2021年3月,使用Cloudflare托管的恶意软件使用量激增，它占当月检测到恶意TLS流量的4％。Sophos 报告了9700多个与恶意软件相关的Discord链接，许多是针对discord的，目标是窃取用户凭证，而另外一些是信息窃取和木马传递。
总体而言，将近一半的恶意TLS通信被发送到了美国和印度的服务器上。

过去一年，TLS在勒索软件攻击中使用的增加，尤其是手动部署的勒索软件，一部分原因是攻击者使用了利用HTTPS的模块化攻击工具。但是，Sophos每天检测到的恶意TLS通信中，