In primele zile ale Internetului browser-ele site-urile web transmiteau traficul in clar. Un actor malitios putea intercepta si citi fara probleme datele transmise prin retea. Acest mod de a comunica devine problematic atunci cand tranzactiile web contin informatii sensibile sau confidentiale precum parole de acces la anumite conturi sau servicii sau detalii despre plata cu cardul a unui produs pe o platforma de e-commerce. Pentru a adresa riscurile asociate cu transmiterea datelor intr-o asemenea maniera s-a inventat criptarea traficului web prin protocolul SSL (Secure Sockets Layer). SSL a fost dezvoltat de catre cei de la Netscape in 1995 si dupa cateva versiuni ale protocolului, a fost preluat de catre IETF si redenumit in TLS.
Astazi, mai mult de 80% din traficul web este criptat cu TLS (Transport Layer Security), varianta moderna a protocolului SSL. Adoptia traficului criptat a condus la o sporire a securitatii si a confidentialitatii atunci cand se foloseste Internetul. Utilizatorii sunt mai linistiti atunci cand fac tranzactii online sau cand se conecteaza la un anumit site web. Pe de alta parte, criptarea traficului poate fi folosita ca o tehnica de camuflare a traficului malitios care spera ca astfel nu va fi detectat de masurile de securitate implementate. Tool-urile de monitorizare a traficului de retea pot inspecta doar traficul in clar, pentru ele continutul unui trafic criptat fiind inaccesibil, opac. Astfel, atacatorii pot injecta payload-uri malitioase fara a risca declansarea unei alarme de securitate.
Traficul criptat – vector de intrare in retea
Atacatorii depun eforturi uriase pentru a compromite sisteme si retele. Ultimul lucru pe care si-l doresc este sa fie detectati de o masura de securitate implementata de organizatie care inspecteaza traficul. Pentru a reusi sa isi camufleze malware-ul, atacatorii apeleaza la criptarea payload-ului malitios. In acest caz, singura modalitate pe care organizatia o are la indemana pentru a detecta pericolul este inspectia traficului SSL. Aceasta metoda presupune decriptarea traficului criptat pentru a putea vedea continutul acestuia si pentru a determina daca acel continut este legitim sau nu. In functie de volumul de trafic generat de utilizatorii si aplicatiile unei organizatii, inspectia traficului poate pune un stres foarte mare asupra echipamentelor de retea si se poate dovedi a fi un lucru nefezabil/neperformant.
Atacatorii pot folosi criptarea traficului pentru ascunderea urmatoarelor tipuri de malware:
- Remote Access Trojans (RATs) – scopul unui RAT este de a-i permite unui atacator sa monitorizeze si sa controleze un sistem de la distanta. Un RAT va fura informatii de pe sistemul compromis precum: parole, apasari de taste, istoric de browswer sau capturi de ecran sau inregistari audio. RAT va transmite apoi aceste informatii catre un server de-alea atacatorului din Internet. Prin acelasi canal de comunicare, RAT poate primi instructiuni aditionale sau poate descarca malware additional.
- malware de cryptomining – un astfel de malware stabileste o conexiune criptata intre calculatorul pe care ruleaza si un server din Internet. Prin aceasta conexiune, PC-ul primeste un task pe care trebuie sa il rezolve si sa trimita rezultatele inapoi la server. Minarea de monede crypto nu este un lucru neaparat rau, insa in acest scenariu minarea se face fara consimtamanul utilizatorului, consumand resurse hardware si curent electric si chiar ingreunand reteaua cu trafic aditional.
- botnet – un botnet este o retea de dispozitive compromise de un atacator si folosite pentru a lansa atacuri asupra altor sisteme. O retea botnet foloseste o arhitectura client/server in care sistemul compromis contacteaza un server de Command and Control care ii transmite instructiuni aditionale. Aceste instructiuni pot contine comenzi despre download-area de malware aditional, comenzi de atac a unui sistem prin DDoS sau comenzi de livrare a mailurilor de tip spam catre anumite tinte.
Cum se poate identifica traficul criptat malitios
In multe cazuri, inspectia SSL este ineficienta, afecteaza performanta si adauga latenta in procesul de comunicare dintre client si server. Reteaua trebuie sa dispuna de alte mijloace care sa ii permita sa identifice si sa detecteze malware-ul din traficul criptat.
Solutiile de securitate trebuie sa dispuna de algoritmi care le permite sa identifice traficul malware pe baza unor semnaturi specifice, tehnica cunoscuta sub numele de traffic fingerprinting. Totusi, aceasta tehnica nu este infaillibila, atacatorii putand sa o evite.
Tehnologiile moderne folosesc AI/ML, Encrypted Traffic Analysis, precum si analiza comportamentala pentru a detecta malware-ul ascuns in traficul criptat.
Monitorizarea traficului de DNS poate ajuta in identificarea acelor servere de CnC din Internet contacte de malware-ul instalat pe sistem pentru informatii aditionale. O solutie de protectie la nivel de DNS poate detecta si bloca sesiunile dinainte ca acestea sa poate fi stabilite.
Monitorizarea fisierelor si a activitatii de pe un dispozitiv poate ajuta organizatia in identificarea traficului criptat. O solutie de endpoint protection identifica o gama variata de malware si poate bloca transmiterea de date catre un server de-ale atacatorilor.
Organizatiile trebuie sa adopte o aparare pe mai multe nivele de securitate pentru a proteja dispozitivele, utilizatorii si datele acestora de malware-ul care nu poate fi vizibil in mod direct de catre metodele de protectie traditionale. Amenintarile cibernetice avanseaza si la fel trebuie sa faca si securitatea organizatiei.
Mihai Dumitrascu, Sr Systems Engineer
