近期,Akamai的研究人员观察到网络攻击者正在使用一种新技术来规避安全产品对恶意流量的检测。这项新技术——我们称之为Cipher Stunting——已经成为一种不可忽视的安全威胁,它最早可以追溯到2018年初。通过使用某些高明的手段,攻击者把SSL/TLS签名随机化,试图逃避安全产品的检测。
攻击者不断改变他们的攻击方式,把他们的规避技术变得日益复杂和巧妙,他们主要的目标是航空公司,银行和约会网站。Akamai观察到,在过去几个月中,攻击者一直在篡改超大规模的SSL/TLS签名。
在真正发现Cipher Stunting之前,Akamai观察到的TLS指纹大概有数万个。在初步发现后不久,TLS指纹数量激增至数百万,最近跃升至数十亿。
背景
大多数(约82%)恶意流量(包括对网络应用的攻击,非法抓取,滥用登录凭证等)都是通过SSL/TLS保驾护航的。而且这个数字在过去几年中一直在增长,因为越来越多的Web应用都开始使用SSL/TLS协议来保护用户数据的隐私。
通常来说,用户在建立TLS连接期间的行为方式可用来进行指纹识别,可用来区分出攻击者和合法用户。而当进行指纹识别时,我们的目标就是选择所有客户端所发送的协商组件。针对SSL/TLS的协商情形,用于指纹识别的理想组件就是通过明文发送的“Client Hello”消息,因为这在每次握手中都是必需的。