【ssl漏洞】网络罪犯开始使用SSL/TLS漏洞进行恶意攻击

【ssl漏洞】网络罪犯开始使用SSL/TLS漏洞进行恶意攻击
网站关键词优化排名官网看到为了更好地保护来自加密网络流量的潜在数据泄漏，越来越多的在线攻击者使用SSL/TLS来隐藏他们的恶意活动。

2017年上半年，证券公司zscaler观察到的所有交易中，平均有60%是通过SSL/TLS进行的。SSL/TLS使用的增长包括合法和恶意活动-犯罪分子依靠合法的SSL证书传播恶意内容。每天平均有300次Web漏洞攻击，其中包括作为感染链一部分的SSL。

“犯罪软件家族越来越多地使用ssl/tls，”zscaler安全研究高级主管DipengDesai说。在过去的六个月中，通过SSL/TLS传播的恶意内容增加了一倍多。在zscaler云平台搜索引擎更新全面性上，2017年上半年平均每天阻止基于SSL/TLS的840万恶意活动。被阻止的恶意活动平均每天有60万个高级威胁。在2017年上半年，zscaler的研究人员每天通过ssl/tls进行12000次钓鱼尝试，比2016年同期增长了400%。

这些数字也只反映了当前SSL/TLS状态的一部分，因为zscaler不包括其他类型的攻击，例如使用SSL/TLS交付有效负载的广告软件。

当企业网络流量被加密时，从犯罪分子的角度来看，加密他们的犯罪活动也是有利可图的——IT管理员面临着同样的加密流量，很难区分好坏。恶意软件家族越来越多地使用SSL加密受害者终端和指挥控制系统之间的通信，这可以隐藏指令、有效负载和其他要发送的信息。与去年同期相比，通过加密连接发送的攻击有效负载在2017年上半年翻了一番。

与ssl/tls进行C2通信的60%恶意负载来自银行特洛伊木马，如zbot、vawtrak和trickbot。另外12%是特洛伊木马，如法雷特和帕普拉。四分之一的负载来自勒索软件。

网络钓鱼团伙也使用SSL/TLS，将其恶意页面托管在具有合法证书的网站上。当用户看到“安全”这个词或浏览器上的绿色小锁时，他们认为他们访问的是合法网站。他们没有意识到这些标志只表明证书本身是有效的，并且连接是加密的。这些标识并不能保证网站本身的合法性，甚至网页内容的真实性。

用户辨别网站所有者真实性的唯一方法是查看实际的证书。有些浏览器显示域名所有者的名称，而不仅仅是单词“safe”或小锁符号，这使得用户更容易判断。

微软、Link和Adobe是最常见的假冒品牌。像nnicrosoft.com这样的网络钓鱼网站（使用两个连续的“n”尝试伪装成“m”）也存在。其他被网络钓鱼团伙滥用的网站包括亚马逊卖家、Google Drive、Outlook和DocuSign。

ssl/tls攻击的增加不能归因于免费的证书颁发机构，如let's encrypt。尽管这些服务使网站所有者更容易、更快地获得SSL证书，但它们并不是唯一错误地向罪犯颁发有效证书的实体。旧的中科院也错误地向罪犯分发证书。此外，尽管在某些情况下，CA向不应该颁发证书的人颁发了证书，但在大多数情况下，证书是颁发给正确的人的。犯罪分子只是劫持和滥用了合法网站——通常是众所周知的云服务，如Office 365、SharePoint、Google Drive和Dropbox，它们使用合法网站承载攻击有效负载并收集泄露的数据。

网站关键词优化排名电话举个例子,例如，舒适的Bear黑客使用PowerShell脚本在黑色主机上装载隐藏的OneDrive分区，并将所有数据复制到隐藏分区。主机和服务（OneDrive）之间的所有活动在默认情况下都是加密的，并且由于OneDrive的常规业务使用，IT部门经常没有注意到这些攻击。攻击者不需要欺诈性地获取证书，因为OneDrive为所有用户提供此级别的保护。

加密对于企业来说不是一个选项，因此它们还需要考虑SSL检查。基于云的平台，例如zscaler，可以提供这样的服务，或者内联部署的应用程序，比如微软、Arbor网络和检查点提供的应用程序。

用户需要确保自己的信息不会被未经授权的方拦截，但是企业需要知道哪些加密流量包含用户数据，哪些流量包含恶意指令。由于更多的攻击依赖于SSL/TLS以避免受到TRA的审查企业需要采取措施确保所有数据受到保护，而坏流量不能偷偷翻过他们的防护。