SOS :: Security Operation Space
16 октября, среда, 00:00
|
Hot News:

Вредоносные боты получили новую технику маскировки

16 мая 2019 г., четверг, 14:16

Киберпреступники научились скрывать активность в защищенных каналах, подменяя данные сообщений Client Hello.

Операторы зловредных кампаний научились манипулировать с защищенными соединениями, чтобы скрывать свою активность от обнаружения. Техника построена на подмене содержимого приветственных сообщений, которые боты отправляют веб-серверам.

Исследователи Akamai назвали обнаруженную технику «трюки с шифрованием» (Cipher Stunting). По их словам, первые случаи ее применения относятся к началу 2018 года, а с сентября популярность метода выросла взрывными темпами. Цель злоумышленников состоит в том, чтобы помешать защитным системам соотнести те или иные пакеты данных с вредоносными клиентами.

Как пояснили эксперты, сегодня подавляющее большинство (82%) кибератак происходит с использованием соединений по протоколам SSL/TLS. Злоумышленники следуют за развитием Интернета в целом — по данным экспертов, к концу 2019 года 90% мирового трафика будет идти по защищенным каналам.

Первое сообщение, которое отправляет клиент серверу при установлении такого соединения — это Client Hello, приветственный пакет с базовой информацией о параметрах коммуникации. Туда входит желаемая версия TLS, список поддерживаемых методов сжатия, возможные методы шифрования (CipherSuites). Все эти данные отправляются в открытом виде, позволяя экспертам снимать и анализировать цифровые отпечатки клиентов, определяя по ним легитимных и вредоносных участников.

Вплоть до августа 2018 года эксперты насчитывали в Интернете чуть менее 19 тыс. таких отпечатков. Столь малое количество объясняется ограниченным набором возможных комбинаций браузера и ОС пользователей, которые в основном и определяют уникальность клиента. Начиная с сентября их количество стало резко увеличиваться — 255 млн в октябре, 1,3 млрд в феврале.

Как показал дальнейший анализ, преступники стали добавлять случайные значения в блок CipherSuites. Это меняет хешированные значения Client Hello и создает лавину уникальных отпечатков. Исследователи связали активность таких клиентов с атаками на сайты авиакомпаний, банков и сервисов онлайн-знакомств.

Эксперты пришли к выводу, что злоумышленники редактируют данные с помощью некой программы на Java. В настоящий момент специалисты научились определять в общем потоке данных отредактированные сообщения Client Hello и блокировать нежелательную активность.

В 2018 году разработчики Apple, Mozilla, Cloudflare и Fastly предложили способ повысить безопасность приветственных сообщений TLS-соединения. Новая технология позволит шифровать часть важных данных, защищая их от перехвата сторонними участниками.

Ваш голос учтён!
нравится
не нравится Рейтинг:
0
Всего голосов: 0
Комментарии

Добавить комментарий к новости

Ваше имя: *
Сообщение: *
Нет комментариев
07:15
06:15
17:21
17:07
16:03
13:15
10:15
09:15
08:15
07:15
06:15
05:38
17:15
15:59
15:15
14:15
12:15
10:15


© 2013—2019 SOS :: Security Operation Space (Пространство Операций Безопасности)  // Обратная связь  | 0.381
Использование любых материалов, размещённых на сайте, разрешается при условии ссылки на sos.net.ua.