Zum Inhalt springen Weiter zur Suche
Testversion
Blog

Was sich dahinter verbirgt: Fortgeschrittene Angriffe, die sich im SSL-Verkehr verstecken

A10 Blog / Netzwerksicherheit / Was sich dahinter verbirgt: Fortgeschrittene Angriffe, die sich im SSL-Datenverkehr verstecken
Paul Nicholson
Paul Nicholson
|
September 30, 2015

Von Target über Sony und Anthem bis hin zu TalkTalk ist kein Unternehmen vor dem Risiko von Cyberangriffen und dem daraus resultierenden Verlust von Kundendaten gefeit. Netzwerksicherheitslösungen können das Risiko von Angriffen verringern, aber diese Lösungen haben einen unerwarteten Gegner: Die SSL-Verschlüsselung.

Die SSL-Verschlüsselung verbessert zwar den Datenschutz und die Integrität, schafft aber auch einen blinden Fleck in der Unternehmensverteidigung. Heute ist etwa die Hälfte des gesamten Internetverkehrs verschlüsselt, und es wird erwartet, dass diese Zahl bis 2016 67 % erreichen wird.

Angreifer können den blinden Fleck von SSL ausnutzen, um sich an den Sicherheitskontrollen vorbeizuschleichen. Fast jeder Netzwerkangriff kann in HTTPS, FTPS, SMTPS und anderen SSL-fähigen Protokollen verschlüsselt werden. Daher würde die Auflistung aller Angriffe, die sich im verschlüsselten Datenverkehr verstecken können, zu einem sehr langen und langweiligen Blog führen.

Stattdessen werden wir uns ansehen, wie Malware-Entwickler die Verschlüsselung nutzen, um sich der Erkennung zu entziehen, und wie ihre Umgehungstechniken im Laufe der Zeit immer raffinierter geworden sind.

SSL für Befehls- und Kontrollkommunikation

Der Banking-Trojaner Zeus ist eine von vielen Arten von Malware, die Verschlüsselung einsetzen. Zeus ist nicht neu - er wurde erstmals 2007 identifiziert -, aber er ist nach wie vor der am weitesten verbreitete und gefährlichste Trojaner, der bis Dezember 2014 etwa 4 Millionen PCs infiziert hat[i].

Zeus hat andere Arten von Finanz-Malware überlebt, weil es schwer zu erkennen und zu entfernen ist. Außerdem hat die weite Verbreitung des Zeus-Angriffs-Toolkits zahlreiche kriminelle Gruppen in die Lage versetzt, noch raffiniertere und hinterhältigere Varianten zu entwickeln.

So nutzt der Zeus-Trojaner Gameover die Verschlüsselung sowohl für die Malware-Verteilung als auch für die Command-and-Control-Kommunikation (C&C). Das Upatre Downloader-Dienstprogramm, das häufig zur Installation von Gameover verwendet wird, lädt die Gameover-Software über eine SSL-Verbindung von einem kompromittierten Webserver herunter. Sobald die Gameover-Software installiert ist, verwendet sie Peer-to-Peer-Netzwerke, um mit den C&C-Servern zu kommunizieren.

Da Gameover eine 2048-Bit-Verschlüsselung verwendete und ständig den Domainnamen wechselte, hatten die Strafverfolgungsbehörden Schwierigkeiten, das Gameover-Botnet einzudämmen, obwohl sie es schließlich im Juni 2014 im Rahmen der Operation Tovar ausschalteten.

Command & Control wird sozial

Um einer Entdeckung zu entgehen, nutzen neue Malware-Stämme soziale Netzwerke und webbasierte E-Mails für die C&C-Kommunikation. Sicherheitsforscher haben Malware entdeckt, die C&C-Befehle von bösartigen Twitter-Konten und Kommentaren auf Pinterest erhält.[ii] Wie die meisten sozialen Netzwerke verschlüsseln auch Twitter und Pinterest die gesamte Kommunikation. Daher sollten Unternehmen den SSL-Datenverkehr überprüfen, um Botnet-Aktivitäten zu erkennen. Andernfalls könnten IT-Sicherheitsanalysten Client-Rechner beobachten, die auf Twitter- oder Pinterest-Seiten zugreifen, und annehmen, dass der Datenverkehr harmlos ist.

Malware stiehlt eine Seite aus dem Spielbuch von General Petraeus

Sicherheitsforscher in Deutschland entdeckten einen Fernzugriffs-Trojaner (RAT), der C&C-Befehle über Online-E-Mail-Konten wie Yahoo und Gmail empfängt.[iii] Interessanterweise entdeckten die Berater von Shape Security jedoch, dass mindestens ein Icoscript-Stamm C&C-Updates über Gmail-Entwurfsnachrichten empfängt. Ähnlich wie der in Ungnade gefallene General David Petraeus, der mit seiner Geliebten Paula Broadwell über Gmail-Entwürfe kommunizierte, versuchte die Malware, sich der Entdeckung zu entziehen, indem sie gar keine E-Mails versandte.

Wie die meisten Online-E-Mail-Programme verschlüsseln auch Gmail und Yahoo Mail den Datenverkehr. Malware-Entwickler nutzen diese Verschlüsselung zu ihrem Vorteil, um der Erkennung zu entgehen. Um bösartige Aktivitäten zu erkennen, sollten Unternehmen den Datenverkehr zu E-Mail-Sites entschlüsseln und untersuchen. Andernfalls könnte Malware an ihnen vorbeigehen.

Erfahren Sie mehr über weitere Angriffe, die sich im SSL-Datenverkehr verstecken

Wenn Sie mehr über die in verschlüsselten Verbindungen versteckten Gefahren erfahren möchten, melden Sie sich für das Webinar an: "5 Bedrohungen, die sich in Ihrem SSL-Datenverkehr verstecken" am 21. Oktober 2015. Während des Webinars werden wir die in diesem Blog erwähnten Cyberangriffe und andere bedrohliche Bedrohungen besprechen, die sich im verschlüsselten Datenverkehr verstecken können.

[i]Der Stand der Finanztrojaner 2014, Symantec

[ii] Banking-Trojaner zielt auf südkoreanische Banken; nutzt Pinterest als C&C-Kanal, Trend Micro

[iii]Getarnte Malware: Botnet-Kontrolle über Webmail, G Data

Teilen Sie diesen Beitrag:

Auf LinkedIn teilen
Kategorien:
Netzwerksicherheit
Vorheriger Beitrag
Nächster Beitrag
Paul Nicholson
Paul Nicholson
|
September 30, 2015

Paul Nicholson verfügt über 24 Jahre Erfahrung in der Arbeit mit Internet- und Sicherheitsunternehmen in den USA und Großbritannien. In seiner jetzigen Position ist Nicholson verantwortlich für die globale... Mehr lesen

Sehen ist Glauben.
Vereinbaren Sie noch heute eine Live-Demo.

Produkt-Demo anfordern

Verwandte Ressourcen

  1. Die Auslagerung des SaaS-Verkehrs über A10 Thunder CFW führt zu besserer SSL-Funktionalität und Kosteneinsparungen für die University of the Ryukyus
  2. SSL-Einblick: Mehr als einfache SSL/TLS-Entschlüsselung
  3. Blockieren von Datenverkehr zu Proxys mit SSL Insight Threat Intelligence - AppCentric Templates Use Case Series