Evasion de mécanismes de détection utilisés par les entreprises de sécurité a toujours été un objectif pour les cybercriminels. Et il semble qu'ils ont trouvé une nouvelle façon d'améliorer ces efforts. La nouvelle méthode est basée sur la signature randomization SSL / TLS, et est donné le chiffre de nom de retard de croissance.
Cipher Rabougrissement - Comment ça marche?
La nouvelle technique a été observée par les chercheurs d'Akamai qui ont présenté leurs conclusions dans un article de blog. La technique de retard de croissance de chiffrement est devenu un «menace croissante» Depuis son apparition au début 2018. Peu dit, les cybercriminels signatures SSL randomisation / TLS dans leur tentative d'échapper à la détection.
"Au cours des derniers mois, les attaquants ont été la falsification des signatures SSL / TLS à une échelle encore jamais vue par Akamai", les chercheurs ont noté.
TLS empreintes digitales Akamai observée avant Cipher Rabougrissement pourrait être compté dans les dizaines de milliers. Peu de temps après l'observation initiale, qui comptent des millions ballonné, puis récemment sauté à des milliards.
Plus précisement, de 18,652 empreintes digitales distinctes observées à l'échelle mondiale par Akamai en Août 2018, après les campagnes TLS trafiquage d'abord commencé à apparaître au début de Septembre l'année dernière, le nombre a atteint l'échelonnement 255 millions de cas en Octobre. L'augmentation est intervenue après une série d'attaques contre les compagnies aériennes, bancaire, et sites de rencontres, qui sont souvent la cible d'attaques de la farce et des titres de compétence raclement de contenu. Ces chiffres ont augmenté plus tard 1,355,334,179 milliards de cas détectés à la fin de Février 2019.
Pourquoi relever les empreintes digitales importante?
Observer la façon dont les clients se comportent au cours de la mise en place d'une connexion TLS est bénéfique à des fins d'empreintes digitales afin que nous puissions différencier les attaquants et les utilisateurs légitimes. Lorsque nous effectuons des empreintes digitales, nous nous efforçons de sélectionner les composants de la négociation envoyée par tous les clients. Dans le cas des négociations SSL / TLS, le composant idéal pour les empreintes digitales est le « client Bonjour’ un message qui est envoyé par un texte clair, et est obligatoire pour chaque poignée de main.
L'objectif principal de d'empreintes digitales est de faire la différence entre les clients légitimes et des imitateurs, proxy et la détection IP partagée, et TLS terminateurs.
Il convient de noter que «le trafic observé poussant beaucoup de TLS change avec le client Bonjour venu de grattoirs, rechercher et comparer les bots."
En août 2018, Akamai a observé 18,652 empreintes digitales distinctes au niveau mondial (0.00000159% de toutes les empreintes digitales potentielles). Plusieurs de ces empreintes digitales sont présentes dans plus de 30% de tout le trafic Internet seul, et sont attribués principalement au navigateur commun et système d'exploitation piles client TLS. À l'époque, il n'y avait aucune trace de falsification avec le client Bonjour ou tout autre composant d'empreintes digitales.
Les choses ont changé en Septembre 2018, lorsque les chercheurs ont d'abord remarqué une tentative de sabotage TLS effectuée par chiffrement à travers plusieurs randomisation verticales. Et comme nous l'avons mentionné plus haut dans l'article, vers la fin de Février la TLS a sauté près de sabotage 20% à 1,355,334,179 milliard.
Cette croissance rend la possibilité d'avoir une visibilité en profondeur dans le trafic Internet plus important que jamais, les chercheurs ont conclu.