Home | | | Short News | | | Long News | | | Long Reads | | | Support | | | Library |
Киберпреступники научились скрывать активность в защищенных каналах, подменяя данные сообщений Client Hello.
Операторы зловредных кампаний научились манипулировать с защищенными соединениями, чтобы скрывать свою активность от обнаружения. Техника построена на подмене содержимого приветственных сообщений, которые боты отправляют веб-серверам.
Исследователи Akamai назвали обнаруженную технику «трюки с шифрованием» (Cipher Stunting). По их словам, первые случаи ее применения относятся к началу 2018 года, а с сентября популярность метода выросла взрывными темпами. Цель злоумышленников состоит в том, чтобы помешать защитным системам соотнести те или иные пакеты данных с вредоносными клиентами.
Как пояснили эксперты, сегодня подавляющее большинство (82%) кибератак происходит с использованием соединений по протоколам SSL/TLS. Злоумышленники следуют за развитием Интернета в целом — по данным экспертов, к концу 2019 года 90% мирового трафика будет идти по защищенным каналам.
Первое сообщение, которое отправляет клиент серверу при установлении такого соединения — это Client Hello, приветственный пакет с базовой информацией о параметрах коммуникации. Туда входит желаемая версия TLS, список поддерживаемых методов сжатия, возможные методы шифрования (CipherSuites). Все эти данные отправляются в открытом виде, позволяя экспертам снимать и анализировать цифровые отпечатки клиентов, определяя по ним легитимных и вредоносных участников.
Вплоть до августа 2018 года эксперты насчитывали в Интернете чуть менее 19 тыс. таких отпечатков. Столь малое количество объясняется ограниченным набором возможных комбинаций браузера и ОС пользователей, которые в основном и определяют уникальность клиента. Начиная с сентября их количество стало резко увеличиваться — 255 млн в октябре, 1,3 млрд в феврале.
Как показал дальнейший анализ, преступники стали добавлять случайные значения в блок CipherSuites. Это меняет хешированные значения Client Hello и создает лавину уникальных отпечатков. Исследователи связали активность таких клиентов с атаками на сайты авиакомпаний, банков и сервисов онлайн-знакомств.
Эксперты пришли к выводу, что злоумышленники редактируют данные с помощью некой программы на Java. В настоящий момент специалисты научились определять в общем потоке данных отредактированные сообщения Client Hello и блокировать нежелательную активность.
В 2018 году разработчики Apple, Mozilla, Cloudflare и Fastly предложили способ повысить безопасность приветственных сообщений TLS-соединения. Новая технология позволит шифровать часть важных данных, защищая их от перехвата сторонними участниками.
19:45 |
||
17:45 |
||
14:45 |
||
12:45 |
||
11:45 |
||
09:45 |
||
09:45 |
||
19:45 |
||
18:45 |
||
16:45 |
||
15:45 |
||
14:45 |
||
13:45 |
||
10:45 |
||
10:45 |
||
09:45 |
||
19:45 |
||
19:45 |
Home | | | Short News | | | Long News | | | Long Reads | | | Support | | | Library | | | Blogs | | | Links |