Penggunaan TLS untuk melindungi komunikasi malware telah berlipat ganda, kata Sophos

  • Whatsapp
Grafik Enkripsi Keamanan


Bacaan Lainnya
Grafik melalui Shutterstock Shutterstock.com

Protokol kriptografi umum yang digunakan untuk melindungi sebagian besar komunikasi situs web dan beberapa jaringan pribadi virtual juga semakin banyak digunakan oleh pelaku ancaman untuk melindungi serangan mereka, menurut sebuah laporan baru.

Dirilis hari ini, laporannya oleh Sophos menyelidiki penyalahgunaan Transport Layer Security (TLS).

“Pada tahun 2020 kami menemukan bahwa 23 persen malware yang kami deteksi komunikasi dengan sistem jarak jauh melalui internet menggunakan TLS,” kata laporan itu. “Hari ini hampir 46 persen.”

Sebagian besar dari ini dapat ditautkan sebagian ke peningkatan penggunaan layanan web dan cloud yang sah yang dilindungi oleh TLS – seperti Discord, Pastebin, Github, dan layanan cloud Google – sebagai repositori untuk komponen malware, sebagai tujuan untuk data yang dicuri, dan bahkan untuk mengirim perintah ke botnet dan malware lainnya, tambah laporan itu.

Ini juga terkait dengan peningkatan penggunaan Tor dan proxy jaringan berbasis TLS lainnya untuk merangkum komunikasi berbahaya antara malware dan aktor yang menyebarkannya.

Layanan cloud Google adalah tujuan sembilan persen permintaan TLS malware, diikuti oleh India. Bulan lalu Sophos melihat peningkatan penggunaan malware yang dihosting Cloudflare – sebagian besar karena lonjakan penggunaan jaringan pengiriman konten Discord, yang didasarkan pada Cloudflare. Ini menyumbang empat persen dari malware TLS yang terdeteksi bulan itu. Para peneliti menemukan lebih dari 9.700 tautan terkait malware ke Discord. Banyak yang spesifik untuk Discord, menargetkan pencurian kredensial pengguna, sementara yang lain adalah paket pengiriman untuk pencuri informasi dan trojan lainnya.

Hampir setengah dari semua komunikasi TLS malware masuk ke server di Amerika Serikat dan India, para peneliti menemukan.

Para peneliti juga melihat peningkatan penggunaan TLS dalam serangan ransomware selama setahun terakhir, terutama dalam ransomware yang diterapkan secara manual. Ini sebagian, kata laporan itu, karena penyerang menggunakan alat ofensif modular yang memanfaatkan HTTPS.

Sophos berpendapat bahwa komunikasi malware biasanya terbagi dalam tiga kategori: mengunduh malware tambahan, eksfiltrasi data yang dicuri dan pengambilan atau pengiriman instruksi ke server perintah dan kontrol, yang semuanya dapat memanfaatkan TLS.

Sebagian besar lalu lintas TLS berbahaya adalah dari jenis pertama: loader, dropper, dan malware lainnya yang mengunduh malware tambahan ke sistem yang mereka infeksi. TLS digunakan untuk mencoba menghindari pemeriksaan muatan dasar.

“Tidak perlu banyak kecanggihan untuk memanfaatkan TLS di dropper malware,” menurut laporan itu. “Karena infrastruktur berkemampuan TLS untuk mengirimkan malware atau cuplikan kode tersedia secara gratis. Seringkali, dropper dan loader menggunakan situs web dan layanan cloud yang sah dengan dukungan TLS bawaan untuk lebih menyamarkan lalu lintas. “

Dropper berbasis PowerShell untuk ransomware LockBit diamati mengambil skrip tambahan dari spreadsheet Google Docs melalui TLS, catatan laporan, serta dari situs web lain. Dan dropper untuk pencuri informasi AgentTesla juga terlihat mengakses Pastebin melalui TLS untuk mengambil potongan kode. Meskipun Google dan Pastebin sering kali dengan cepat menutup dokumen dan situs web yang menghosting malware di platformnya, penyerang cukup membuat yang baru untuk serangan mereka berikutnya.

Operator malware dapat menggunakan TLS untuk mengaburkan perintah dan mengontrol lalu lintas, laporan menunjukkan. Dengan mengirimkan permintaan HTTPS atau menghubungkan melalui layanan proxy berbasis TLS, malware dapat membuat reverse shell. Hal ini memungkinkan perintah untuk diteruskan ke malware, atau untuk malware untuk mengambil blok skrip atau kunci yang diperlukan yang diperlukan untuk fungsi tertentu. Server perintah dan kontrol dapat berupa server web khusus jarak jauh, atau dapat didasarkan pada satu atau beberapa dokumen dalam layanan cloud yang sah.

Misalnya, trojan perbankan Portugis Lampion menggunakan dokumen teks Google Documents sebagai sumber kunci yang diperlukan untuk membuka kunci beberapa kodenya. Menghapus dokumen bertindak sebagai killswitch. Dengan memanfaatkan Google Docs, pelaku di balik Lampion mampu menyembunyikan komunikasi pengendali ke malware dan menghindari deteksi berbasis reputasi dengan menggunakan host tepercaya.

Baru-baru ini trojan Dridex telah diperbarui untuk merangkum komunikasi dengan TLS, menggunakan HTTPS pada port 443 untuk mengunduh modul dan mengekstrak data. Selain itu, toolkit Cobalt Strike dan Metasploit yang sering digunakan oleh grup ransomware menggunakan TLS.

Laporan tersebut memberikan contoh lain dari penyalahgunaan TLS.

Satu masalah bagi pembela HAM adalah bahwa beberapa malware menggunakan TLS melalui port IP non-standar, sehingga analis mungkin meremehkan penggunaannya.

“TLS dapat diimplementasikan melalui port IP yang dapat ditetapkan,” kata laporan tersebut. “Dan setelah jabat tangan awal, ini terlihat seperti lalu lintas aplikasi TCP lainnya.”

Masalah lainnya adalah penyalahgunaan di cloud dan layanan web seperti Google Docs, Discord, Telegram, Pastebin dan lainnya.

“Layanan dan teknologi yang sama yang telah membuat memperoleh sertifikat TLS dan mengonfigurasi situs web HTTPS jauh lebih sederhana untuk organisasi kecil dan individu juga mempermudah pelaku jahat untuk berbaur dengan lalu lintas Internet yang sah, dan telah secara dramatis mengurangi pekerjaan yang diperlukan untuk sering berpindah atau mereplikasi infrastruktur C2.

“Tanpa pertahanan yang mendalam, organisasi mungkin semakin kecil kemungkinannya untuk mendeteksi ancaman di kawat sebelum mereka disebarkan oleh penyerang.”

Sophos merilis laporan tersebut bertepatan dengan peluncuran peralatan firewall seri XGS baru yang mencakup inspeksi TLS. Kebanyakan firewall menyertakan inspeksi TSL.



Source

Pos terkait

Tinggalkan Balasan

Alamat email Anda tidak akan dipublikasikan. Ruas yang wajib ditandai *