SOS :: Security Operation Space
27 мая, понедельник, 00:00
|
Hot News:

Вредоносные боты получили новую технику маскировки

16 мая 2019 г., четверг, 14:16

Киберпреступники научились скрывать активность в защищенных каналах, подменяя данные сообщений Client Hello.

Операторы зловредных кампаний научились манипулировать с защищенными соединениями, чтобы скрывать свою активность от обнаружения. Техника построена на подмене содержимого приветственных сообщений, которые боты отправляют веб-серверам.

Исследователи Akamai назвали обнаруженную технику «трюки с шифрованием» (Cipher Stunting). По их словам, первые случаи ее применения относятся к началу 2018 года, а с сентября популярность метода выросла взрывными темпами. Цель злоумышленников состоит в том, чтобы помешать защитным системам соотнести те или иные пакеты данных с вредоносными клиентами.

Как пояснили эксперты, сегодня подавляющее большинство (82%) кибератак происходит с использованием соединений по протоколам SSL/TLS. Злоумышленники следуют за развитием Интернета в целом — по данным экспертов, к концу 2019 года 90% мирового трафика будет идти по защищенным каналам.

Первое сообщение, которое отправляет клиент серверу при установлении такого соединения — это Client Hello, приветственный пакет с базовой информацией о параметрах коммуникации. Туда входит желаемая версия TLS, список поддерживаемых методов сжатия, возможные методы шифрования (CipherSuites). Все эти данные отправляются в открытом виде, позволяя экспертам снимать и анализировать цифровые отпечатки клиентов, определяя по ним легитимных и вредоносных участников.

Вплоть до августа 2018 года эксперты насчитывали в Интернете чуть менее 19 тыс. таких отпечатков. Столь малое количество объясняется ограниченным набором возможных комбинаций браузера и ОС пользователей, которые в основном и определяют уникальность клиента. Начиная с сентября их количество стало резко увеличиваться — 255 млн в октябре, 1,3 млрд в феврале.

Как показал дальнейший анализ, преступники стали добавлять случайные значения в блок CipherSuites. Это меняет хешированные значения Client Hello и создает лавину уникальных отпечатков. Исследователи связали активность таких клиентов с атаками на сайты авиакомпаний, банков и сервисов онлайн-знакомств.

Эксперты пришли к выводу, что злоумышленники редактируют данные с помощью некой программы на Java. В настоящий момент специалисты научились определять в общем потоке данных отредактированные сообщения Client Hello и блокировать нежелательную активность.

В 2018 году разработчики Apple, Mozilla, Cloudflare и Fastly предложили способ повысить безопасность приветственных сообщений TLS-соединения. Новая технология позволит шифровать часть важных данных, защищая их от перехвата сторонними участниками.

Ваш голос учтён!
нравится
не нравится Рейтинг:
0
Всего голосов: 0
Комментарии

Добавить комментарий к новости

Ваше имя: *
Сообщение: *
Нет комментариев
09:15
08:15
07:15
06:15
06:15
15:53
14:33
14:15
13:15
11:15
11:15
10:15
09:15
08:15
07:15
07:15
06:15
16:35


© 2013—2019 SOS :: Security Operation Space (Пространство Операций Безопасности)  // Обратная связь  | 0.254
Использование любых материалов, размещённых на сайте, разрешается при условии ссылки на sos.net.ua.