文档章节

为什么SSL/TLS攻击日渐猖狂?

亚洲诚信
 亚洲诚信
发布于 2017/08/24 14:52
字数 1566
阅读 4
收藏 0

随着越来越多的网站使用安全加密,网络犯罪正转为通过SSL/TLS漏洞发动恶意攻击......

由于企业在网络传输的加密方面做得越来越好,保护数据免受潜在攻击和暴露,因此网络攻击者们也在逐步提高他们的安全套接层/安全传输层(SSL/TLS)技术,以隐藏他们的恶意攻击行为。安全公司Zscaler的研究人员称,2017年上半年,在该公司观测到的业务量中,平均有60%是通过SSL/TLS进行的。SSL/TLS使用量的增长既包括合法活动,也包括依靠有效SSL证书来分发其内容的恶意活动。研究人员发现,平均每天利用网络漏洞进行的攻击达到300次,其中包括将SSL作为入侵链条一部分的攻击行为。

“犯罪软件家族正在越来越多地使用SSL/TLS,”Zscaler公司安全研究部门的高级主管Deepen Desai说。Zscaler公司声称,过去6个月中,通过SSL/TLS发送的恶意内容翻了一倍还多。在2017年上半年,该公司在其Zscaler云平台上平均每天为客户拦截840万次基于SSL/TLS的恶意活动。在这些被拦截的恶意活动中,高级威胁平均每天达到60万次。在2017年上半年,Zscaler公司的研究人员平均每天发现1.2万次通过SSL/TLS进行的钓鱼攻击尝试,这一数据比2016年增长了400%。

这些数据所展示的仅仅是SSL/TLS的一部分,因为Zscaler公司的这项研究中并不包括其它类型的攻击,如使用SSL/TLS发送数据的恶意广告。

当企业网络的大部分通信被加密时,从犯罪分子的角度看,对其活动进行加密仍然是有意义的,因为对于信息技术管理员来说,区分好的通信和坏的通信会变得更困难。恶意软件正在越来越多地使用SSL来加密被攻击的端点和命令控制系统之间的通信,以隐藏他们的指令、有效数据和其它被发送的信息片段。Desai说,与2016年全年相比,2017年前六个月通过加密连接发送的有效数据量已经翻倍。

Zscaler公司称,使用SSL/TLS进行命令控制(C&C)的恶意软件的有效数据中有大约60%来自银行业木马,如Zbot、Vawtrak和Trickbot。此外还有12%来自间谍软件木马,如Fareit和Papra。大约有四分之一的有效数据来自勒索软件。

钓鱼团伙也使用SSL/TLS,因为他们的恶意网页所在的主机拥有合法的证书。用户会认为他们正在访问一个有效网站,因为他们看到了“安全”字样或浏览器中的挂锁标志,他们没有意识到这些标识仅仅意味着证书有效并且连接已被加密。该网站的合法性没有任何保证,甚至它声称自己是什么就是什么。用户想要确认网站真的属于正确的主人的唯一方法是,看一看真实的证书。一些浏览器通过在浏览器中展示域的所有者的名字而不是仅仅展示“安全”字样或挂锁标志来使用户更容易辨认。

微软、领英和Adobe公司是被仿冒最多的几个品牌。Desai说,他曾经见过nnicrosoft.com网站(该网站域名中有两个连续的n,看起来很像一个m)。Desai说,其他被钓鱼团伙侵犯的网站还包括Amazon Seller、Google Drive、Outlook和DocuSign。

但请不要因为使用SSL/TLS进行的攻击增加而责怪免费证书颁发机构(CA),如Let’s Encrypt。尽管这些服务使得网站所有者能够更轻易地获得SSL证书,但它们并不是仅有的把有效证书错误地提供给网络犯罪分子的机构。Desai说,他的团队也看到过那些知名的证书颁发机构犯过同样的错误。尽管在某些情况下,证书颁发机构颁发了本不应颁发的证书,但在多数情况下,证书的颁发是准确无误的。犯罪分子劫持并入侵合法网站——其中有代表性的的是著名的云服务商,如Office 365、SharePoint、Google Drive和Dropbox——来装载他们的恶意软件并收集泄露出的数据。

例如,Desai描述了CozyBear攻击小组是怎样使用PowerShell脚本在一台被入侵的计算机中装载一个隐藏的OneDrive分区并将所有数据复制到该分区的。在这个OneDrive的案例中,计算机和服务商之间的所有活动都被默认进行了加密,而由于商业原因OneDrive经常会被使用,信息技术部门并不总能注意到攻击的发生。由于OneDrive为所有用户提供这一级别的保护,所以攻击者们不需要欺骗性地获得一个证书,

加密对企业来说并不是非强制性的,而由于这一点,他们还需要考虑SSL检查。这可以由一个基于云的平台提供,就像Zscaler公司提供的服务一样,也可以由内部部署的装置提供,如微软、Arbor网络和Check Point提供的服务一样(举几个例子来说)。用户需要保证,当他们在网上通信时,他们的信息不会被未授权的一方截获,但企业需要一种方法来分辨哪些加密通信包含用户数据,哪些又携带着恶意指令。由于更多的攻击依靠SSL/TLS来避免受到传统网络监视工具的检查,所以企业需要采取措施来确保所有数据受到保护,有害通信无法悄悄地越过他们的防御。

本文转载自:https://www.sslchina.com/why-ssl-tls-attack-getting-serious/

亚洲诚信
粉丝 4
博文 108
码字总数 83221
作品 0
程序员
私信 提问
POODLE漏洞东山再起,影响TLS安全传输协议

谷歌安全团队在十月发现的一个高危SSL漏洞POODLE,现在它又东山再起了,这次它影响的是SSL升级版——TLS协议。 POODLE(Padding Oracle On Downgraded Legacy Encryption)漏洞曾影响了使用最...

小猪猪的风
2014/12/15
0
1
HTTPS 再爆漏洞, 企业需升级SSL/TLS加密算法

随着CBC和RC4加密算法的相继“沦陷”,依赖SSL/TLS的企业需要引起高度重视,选择更安全的加密算法。 本站之前的文章“你的智能手机应用在裸奔吗” 提到过, 糟糕的SSL实施可能会导致被实施“...

oschina
2013/03/24
5.5K
10
各大浏览器相继发布声明将停止支持 TLS 1.0 和 TLS 1.1 !

简评:TLS 1.0 发布至今已将近 20 周年即将寿终正寝,期间为我们保障了千亿次甚至万亿次的数据请求安全。 TLS 工作组几个月前发布声明文件弃用 TLS 1.0 和 TLS 1.1。 昨天,包括火狐、Safar...

极小光
2018/10/24
0
0
HTTPS和SSL并不意味着您拥有安全的网站

HTTPS和SSL并不意味着您拥有安全的网站 在大多数情况下,搜索引擎优化社区首先将注意力转移到小绿色锁定,当时百度SEO专家发布了一篇宣布HTTPS作为排名信号的帖子。几乎所有的SEO都建议他们的...

优惠码领取
2018/10/31
0
0
聊一聊HTTPS和SSL/TLS

什么是HTTPS? HTTPS(Hyper Text Transfer Protocol over Secure Socket Layer)简单的讲就是HTTP的安全版本。即HTTP下加入SSL层,HTTPS的安全基础是SSL,因此加密的详细内容就需要SSL。HTTPS...

吴伟祥
2018/06/30
0
0

没有更多内容

加载失败,请刷新页面

加载更多

NIO基于长度域的报文在Netty下的解码

1, 先复习一下粘包/拆包 1.1, 粘包/拆包的含义 TCP是个“流”协议, 并不了解上层业务数据的具体含义, 它会根据TCP缓冲区的实际情况进行包的划分,所以在业务上认为,一个完整的包可能会被TCP...

老菜鸟0217
今天
8
0
从零开始搭建spring-cloud(2) ----ribbon

在微服务架构中,业务都会被拆分成一个独立的服务,服务与服务的通讯是基于http restful的。Spring cloud有两种服务调用方式,一种是ribbon+restTemplate,另一种是feign。 其实我们已经在上...

Vincent-Duan
今天
19
0
get和post的区别?

doGet:路径传参。效率高,安全性差(get的传送数据量有限制,不能大于2Kb) doPOST:实体传参。效率低,安全性好 建议: 1、get方式的安全性较Post方式要差些,包含机密信息的话,建议用Pos...

花无谢
昨天
4
0
当谈论迭代器时,我谈些什么?

当谈论迭代器时,我谈些什么? 花下猫语:之前说过,我对于编程语言跟其它学科的融合非常感兴趣,但我还说漏了一点,就是我对于 Python 跟其它编程语言的对比学习,也很感兴趣。所以,我一直...

豌豆花下猫
昨天
14
0
10天学Python直接做项目,我做了这5件事

初学者如何尽快上手python? 市面上关于如何学python的资料很多,但是讲的都太复杂。 我就是很简单的几句话,从小白到开发工程师,我只做了五件事。 我觉得任何商业计划书如果不能用几句话讲...

Python派森
昨天
7
0

没有更多内容

加载失败,请刷新页面

加载更多

返回顶部
顶部