Evasion af afsløring mekanismer, der anvendes af sikkerhedsfirmaer har altid været et mål for cyberkriminelle. Og det synes de har fundet en ny måde at forbedre denne indsats. Den nye metode er baseret på SSL / TLS signatur randomisering, og får navnet cipher forkrøbling.
Cipher Stunting - Hvordan virker det?
Den nye teknik blev observeret af Akamai-forskere, som præsenterede deres resultater i et blogindlæg. Den cipher forkrøbling teknik er blevet en ”voksende trussel”Da det først dukkede op i begyndelsen af 2018. Kort sagt, cyberkriminelle er randomisering SSL / TLS signaturer i deres forsøg på at undgå opdagelse.
"I løbet af de sidste par måneder, angribere har været manipulation med SSL / TLS signaturer på en skala aldrig før set af Akamai", forskerne bemærkede.
Den TLS fingeraftryk, at Akamai observeret før Cipher Stunting kunne tælles i titusinder. Snart efter den indledende bemærkning, der tæller ballon til millioner, og derefter for nylig sprang til milliarder.
Mere specifikt, fra 18,652 særskilte fingeraftryk observerede globalt af Akamai i august 2018, efter TLS manipulation kampagner først begyndte at dukke op i begyndelsen af september sidste år, nummeret nåede overvældende 255 million tilfælde i oktober,. Stigningen kom efter en række angreb mod flyselskaber, bankvirksomhed, og dating websites, som ofte er mål for legitimationsoplysninger udstopning angreb og indhold skrabning. Disse tal senere voksede til 1,355,334,179 milliard tilfælde detekteres ved slutningen af februar 2019.
Hvorfor er fingeraftryk vigtig?
Observere den måde kunderne opfører under etableringen af en TLS-forbindelse er til gavn for fingeraftryk formål, så vi kan skelne mellem angribere og legitime brugere. Når vi gennemfører fingeraftryk, vi sigter mod at vælge komponenter af forhandlingerne sendes af alle klienter. I tilfælde af SSL / TLS forhandlinger, den ideelle komponent til fingeraftryk er ’Klient Hej’ besked, der sendes via klartekst, og er obligatorisk for alle håndtryk.
Det vigtigste mål for fingeraftryk er at skelne mellem lovlige kunder og impersonators, fuldmagt og delt IP afsløring, og TLS terminatorer.
Det skal bemærkes, at ”trafikken observerede skubber mange af TLS ændrer sig med Client Hello kom fra skrabere, Søg og sammenlign bots."
I august 2018, Akamai observerede 18,652 særskilte fingeraftryk globalt (0.00000159% af alle potentielle fingeraftryk). Flere af disse fingeraftryk er til stede i mere end 30% af al internettrafik alene, og tilskrives det meste til fælles browser og operativsystem TLS klient stakke. På tidspunktet, Der var ingen tegn på manipulation med Client Hej eller andre fingeraftryk komponent.
Ting ændret i september 2018, når forskerne først bemærket TLS indgreb, udføres via cipher randomisering over adskillige vertikaler. Og som allerede nævnt tidligere i artiklen, mod slutningen af februar TLS manipulation sprang næsten 20% til 1,355,334,179 milliard.
Denne vækst gør evnen til at have dyb indsigt i internettets trafik vigtigere end nogensinde, forskerne konkluderede.
Milena Dimitrova
En inspireret forfatter og indholdschef, der har været hos SensorsTechForum siden projektets start. En professionel med 10+ års erfaring med at skabe engagerende indhold. Fokuseret på brugernes privatliv og malware udvikling, hun tror stærkt på en verden, hvor cybersikkerhed spiller en central rolle. Hvis almindelig sund fornuft giver ingen mening, hun vil være der til at tage noter. Disse noter senere kan blive til artikler! Følg Milena @Milenyim
Følg mig: