Evasão de mecanismos de detecção utilizado por empresas de segurança sempre foi uma meta para cibercriminosos. E parece ter encontrado uma nova maneira de melhorar esses esforços. O novo método é baseado em SSL / TLS assinatura randomização, e recebe o nome de cipher stunting.
Atrofia de cifras - Como funciona?
A nova técnica foi observada por pesquisadores da Akamai que apresentaram suas descobertas em um post. A técnica de retardo de cifra tornou-se um “ameaça crescente"Desde que surgiu no início 2018. disse brevemente, os cibercriminosos estão randomizando assinaturas SSL / TLS em sua tentativa de evitar a detecção.
“Nos últimos meses, atacantes têm sido adulteração de assinaturas SSL / TLS em uma escala nunca antes vista por Akamai”, os pesquisadores notaram.
As impressões digitais TLS que a Akamai observou antes da redução da cifra podem ser contadas em dezenas de milhares. Logo após a observação inicial, essa contagem aumentou para milhões, e recentemente saltou para bilhões.
Mais especificamente, de 18,652 impressões digitais distintas observadas globalmente pela Akamai em agosto 2018, depois que as campanhas de adulteração de TLS começaram a aparecer no início de setembro do ano passado, o número atingiu o impressionante 255 milhões de instâncias em outubro. O aumento veio após uma série de ataques contra companhias aéreas, bancário, e sites de namoro, que costumam ser alvos de ataques de enchimento de credenciais e remoção de conteúdo. Mais tarde, esses números cresceram para 1,355,334,179 bilhões de instâncias detectadas no final de fevereiro 2019.
Por que a impressão digital é importante?
Observar a maneira como os clientes se comportam durante o estabelecimento de uma conexão TLS é benéfico para fins de impressão digital, por isso podemos diferenciar entre invasores e usuários legítimos. Quando conduzimos impressões digitais, nosso objetivo é selecionar os componentes da negociação enviada por todos os clientes. No caso de negociações SSL / TLS, o componente ideal para impressão digital é o ‘Cliente Hello’ mensagem enviada via texto não criptografado, e é obrigatório para cada aperto de mão.
O principal objetivo da impressão digital é diferenciar entre clientes legítimos e falsificadores, detecção de proxy e IP compartilhado, e terminadores TLS.
Deve-se notar que “o tráfego observado empurrando muitas das mudanças TLS com o Client Hello veio de scrapers, pesquise e compare bots.”
em agosto 2018, Akamai observado 18,652 impressões digitais distintas globalmente (0.00000159% de todas as possíveis impressões digitais). Várias dessas impressões digitais estão presentes em mais de 30% de todo o tráfego da Internet sozinho, e são atribuídos principalmente a pilhas de clientes TLS de navegadores e sistemas operacionais comuns. No momento, não havia nenhuma evidência de qualquer adulteração do Client Hello ou de qualquer outro componente de impressão digital.
As coisas mudaram em setembro 2018, quando os pesquisadores notaram pela primeira vez a adulteração de TLS realizada por meio de randomização de cifra em vários setores. E como já mencionado no artigo, no final de fevereiro, o A adulteração de TLS quase aumentou 20% para 1,355,334,179 bilhão.
Esse crescimento torna a capacidade de ter visibilidade profunda do tráfego da Internet mais importante do que nunca, os pesquisadores concluíram.
Milena Dimitrova
Um escritor inspirado e gerente de conteúdo que está com SensorsTechForum desde o início do projeto. Um profissional com 10+ anos de experiência na criação de conteúdo envolvente. Focada na privacidade do usuário e desenvolvimento de malware, ela acredita fortemente em um mundo onde a segurança cibernética desempenha um papel central. Se o senso comum não faz sentido, ela vai estar lá para tomar notas. Essas notas podem mais tarde se transformar em artigos! Siga Milena @Milenyim
Me siga: