混淆加密流量规避检测:黑客利用加密流量趋势明显

2019年11月23日22:35:58 发表评论

黑客组织开端窜改Web流量加密,致传输层平安(TLS)衔接指纹数目1年内从1.9万飙升至14亿。

互联网根底设备及平安公司的阿卡迈称,网络攻击者采用所谓 “密码障碍( Cipher Stunting )” 技术,试图经过混杂加密流量的方式躲避检测。

密码障碍技术窜改以平安套接字(SSL)和传输层平安(TLS)加密的通讯指纹。将加密流量指纹辨认作为攻击辨认途径之一的阿卡迈公司发现,最近几个月初始握手恳求( Client Hello 包)变种数目激增,从2019年8月惯常的数千个,猛增到往年2月的1亿个以上。正当运用时,每个变种代表着加密软件、阅读器、操纵零碎和加密包配置的不同组合。该公司在博客剖析文章中指出,这么大规模的变化前所未见。

虽然变种数目猛增能够是由于正当软件行为或某种软件缺陷,但最有能够的解释却是攻击者试图躲避检测或假装成少量不同零碎。

阿卡迈要挟研讨总监 Moshe Zioni 称:

Client Hello包变种的激增是攻击者与进攻者之间猫鼠游戏的最新晋级。阿卡迈表示,82%的歹意流量运用加密通讯。由于SSL和TLS太过普遍,很多公司都把加密流量指纹辨认作为流量分类的一种技术。但由于通讯内收留是加密的,进攻者只能应用客户端和效劳器之间的明文初始握手包。

指纹辨认是有局限性的。初始握手包变种的激增就是这种局限性的尽佳例证。只需进攻者尝试对设备停止指纹辨认,攻击者要做的第一件事就是随机化该指纹特征。

攻击者的目的就是要让某台主机或主机网络看起来像不计其数的用户设备。

用客户端和效劳器之间的初始握手特征对加密通讯停止指纹辨认始于至多10年前。早在2009年,破绽治理与合规处理方案提供商Qualys的研讨职员 Ivan Ristic 便描绘了以SSL特征对客户端及效劳器停止指纹辨认的多种办法。2019年的DerbyCon大会上,Leviathan Security Group 初级平安参谋 Lee Brotherston 描绘了进攻者如何运用TLS指纹辨认更好地检测要挟。

阿卡迈常常察看阅读器客户端与效劳器间树立平安衔接时由客户端收回的 Client Hello 包。这些包使得有权拜访该网络的任何人都可以经过指纹辨认出特定客户端。Client Hello 包中含有的域包括TLS版本、会话ID、加密套件选项和扩展及紧缩办法。

阿卡迈在剖析中称:察看客户端在TLS衔接树立时期的行为方式有利于指纹辨认,能将攻击者与正当用户区分开来。执行指纹辨认时,我们的目的是挑选出一切由客户端发送出的协商组件。

攻击者试图混淆水。2019年8月,阿卡迈搜集了来自其全球网络的18,652个不同指纹,代表着一切能够指纹的一局部。但2019年9月,攻击者开端随机化加密包的特征。到往年2月,特征指纹数目到达了14亿之巨。

大局部随机化发作在试图运用其他网站被盗登录凭证拿下阿卡迈客户账户的流量上。

随着随机指纹的迸发,进攻者对特定歹意软件的辨认与分类呈现了题目,但仍能检测行为异常的TLS加密恳求。

目前可用的SSL/TLS协议栈完成绝对较少,随机化和歹意行为之间的关联性很强。

发表评论

后发表评论