Sophos cho biết, 23% số lượng mã độc mà họ phát hiện vào năm 2020 đã được mã hóa bằng giao thức Bảo mật Tầng Giao vận (Transport Layer Security - TLS). Tuy nhiên, trong ba tháng đầu năm 2021, con số này đã tăng lên gần 46%.
Nhà nghiên cứu cấp cao về mối đe dọa của hãng là Sean Gallagher giải thích rằng, sự gia tăng này có thể liên quan đến sự gia tăng tổng thể trong việc các tác nhân đe dọa lạm dụng việc sử dụng TLS của các dịch vụ web phổ biến.
Ông giải thích, một phần lớn sự gia tăng trong việc lợi dụng TLS có thể liên quan đến việc tăng cường sử dụng các dịch vụ web và đám mây hợp pháp được bảo vệ bởi TLS, chẳng hạn như Discord, Pastebin, GitHub và các dịch vụ đám mây của Google. Các dịch vụ này đã trở thành kho lưu trữ các thành phần mã độc, như là điểm chuyển tới để lưu trữ dữ liệu bị đánh cắp, và thậm chí để gửi lệnh tới mạng botnet và các loại mã độc khác.
Theo ông, điều này cũng liên quan đến việc tăng cường sử dụng trình duyệt Tor và các proxy mạng dựa trên TLS khác để đóng gói các thông tin liên lạc độc hại giữa mã độc và các tác nhân độc hại triển khai chúng.
Ông Gallagher tuyên bố, thách thức đặt ra là tin tặc sử dụng các dịch vụ này không chỉ che giấu hành vi của mình khỏi các công cụ bảo mật, mà còn được hưởng lợi từ sự “an toàn” của các nền tảng nổi tiếng này.
Gần một nửa số mã độc được mã hóa đã được gửi đến các máy chủ ở Mỹ và Ấn Độ trong quý 1/2021, trong đó các dịch vụ đám mây của Google là điểm chuyển tới của 9% mã độc TLS, và dịch vụ đám mây của BSNL (một doanh nghiệp thuộc chính phủ và là nhà cung cấp dịch vụ viễn thông) của Ấn Độ với 6%.
Ông Gallagher cho hay, Sophos cũng đã thấy sự gia tăng trong việc sử dụng mã hóa TLS trong các cuộc tấn công mã độc tống tiền tùy chỉnh, dưới dạng “công cụ tấn công mô-đun” sử dụng HTTPS. Tuy nhiên, phần lớn lưu lượng truy cập TLS độc hại là từ mã độc được thiết kế để thực hiện sự xâm nhập nạn nhân vào giai đoạn đầu - ví dụ: trình tải, trình nhỏ giọt và trình cài đặt dựa trên tài liệu.
Theo Gallagher, mã hóa TLS cũng đang bị sử dụng để che giấu việc trích xuất dữ liệu từ các mạng bị xâm nhập và giao tiếp với máy chủ C&C.
Đỗ Đoàn Kết
(Theo Info Security)
09:00 | 28/02/2019
07:00 | 06/07/2018
13:00 | 11/06/2021
13:00 | 09/05/2018
15:00 | 09/06/2021
17:00 | 19/11/2021
14:00 | 25/04/2024
Nhóm tình báo mối đe dọa Threat Intelligence của Microsoft cho biết, các tác nhân đe dọa đang tích cực khai thác các lỗ hổng nghiêm trọng trong OpenMetadata để có quyền truy cập trái phép vào khối lượng workload trong Kubernetes và lạm dụng chúng cho hoạt động khai thác tiền điện tử.
14:00 | 24/04/2024
Europol đưa ra thông báo, nền tảng cung cấp dịch vụ lừa đảo (PhaaS) LabHost vừa bị triệt phá trong chiến dịch kéo dài 1 năm của các nhà hành pháp toàn cầu, 37 nghi phạm bị bắt giữ.
11:00 | 29/02/2024
Các nhà nghiên cứu của hãng bảo mật Palo Alto Networks (Mỹ) đã phát hiện một biến thể mới của Trojan ngân hàng Mispadu đang tiến hành các hoạt động khai thác lỗ hổng Windows SmartScreen đã được vá để nhắm mục tiêu đến các nạn nhân ở Mexico. Bài viết sẽ phân tích và thảo luận xoay quanh biến thể mới của Mispadu và tấn công khai thác lỗ hổng Windows SmartScreen dựa trên báo cáo của Palo Alto Networks.
09:00 | 13/02/2024
Các nhà nghiên cứu tới từ công ty an ninh mạng Guardio (Mỹ) tiết lộ một lỗ hổng bảo mật trong trình duyệt web Opera dành cho Microsoft Windows và Apple macOS có thể bị khai thác để thực thi tệp tùy ý trên hai hệ điều hành này.
Nhóm tình báo mối đe dọa Threat Intelligence của Microsoft cho biết, các tác nhân đe dọa đang tích cực khai thác các lỗ hổng nghiêm trọng trong OpenMetadata để có quyền truy cập trái phép vào khối lượng workload trong Kubernetes và lạm dụng chúng cho hoạt động khai thác tiền điện tử.
14:00 | 25/04/2024