Hackers evaden detección aleatorizando cifrados TLS Handshake

Iniciado por K A I L, Mayo 16, 2019, 12:18:14 PM

Tema anterior - Siguiente tema

0 Miembros y 1 Visitante están viendo este tema.


Los ciberdelincuentes están utilizando un nuevo método para evadir la detección para asegurarse de que no se detecte el tráfico generado por sus campañas maliciosas, una técnica basada en la aleatorización de firmas SSL / TLS y el retraso en el cifrado apodado.

La gran mayoría del tráfico malicioso en Internet, incluidos los ataques contra aplicaciones web, scraping, abuso de credenciales y más, se canaliza a través de conexiones seguras a través de SSL / TLS, dice el Equipo de Investigación de Amenazas de Akamai en un informe publicado hoy.

El informe de Akamai dice que "Desde la perspectiva de un atacante, ajustar el comportamiento del cliente SSL / TLS puede ser trivial para algunos aspectos de la evasión de huellas dactilares, pero la dificultad puede aumentar para otros dependiendo del propósito de la evasión o el bot en cuestión, muchos paquetes requieren profundos niveles de conocimiento y comprensión por parte del atacante para funcionar correctamente ".

Esta técnica es utilizada por los atacantes para evadir la detección y ejecutar sus campañas maliciosas sin interrupciones, con al menos unas pocas decenas de miles de huellas dactilares TLS utilizadas para tales fines antes de que los investigadores observaran el nuevo método de evasión del retraso del cifrado.


Akamai usa el mensaje de saludo del cliente enviado a través de texto claro con cada saludo como parte de las negociaciones de SSL / TLS para la identificación de huellas dactilares, para "diferenciar entre clientes legítimos e imitadores, detección de IP compartida y proxy, y terminadores de TLS".

"Las huellas dactilares de TLS que Akamai observó antes de que se observara el retraso del cifrado se podían contar en decenas de miles. Poco después de la observación inicial, el recuento se elevó a millones de personas y luego se elevó a miles de millones", dice Akamai.

Más importante aún, los delincuentes que usan firmas SSL / TLS para llevar a cabo campañas malintencionadas a través de conexiones seguras han incrementado drásticamente sus esfuerzos últimamente, con firmas aleatorias observadas en instancias de manipulación de TLS que ven un enorme crecimiento entre septiembre de 2018 y febrero de 2019.


De las 18,652 huellas dactilares distintas observadas a nivel mundial por Akamai en agosto de 2018, luego de que las campañas de manipulación de TLS comenzaron a aparecer a principios de septiembre de 2018, alcanzaron un nuevo nivel máximo de 255 millones de instancias a fines de octubre, luego de ataques dirigidos a aerolíneas, bancos y sitios web de citas. que a menudo son objetivos de ataques de relleno de credenciales y raspado de contenido ".

El número de instancias de manipulación detectadas por el equipo de investigación de Akamai a nivel mundial alcanzó un número asombroso de 1.355.334.179 millones de instancias a finales de febrero de 2019.

Los responsables están presentando una lista de conjuntos de cifrado aleatorios en los mensajes de "Cliente", que a su vez, aleatorizan los hashes al final. El análisis adicional nos da la capacidad de perfeccionar y reconocer los detalles importantes de la implementación del atacante. Esto se debe al conjunto relativamente pequeño y finito de las implementaciones de pila SSL / TLS disponibles en la actualidad. Cada uno permite un nivel diferente de intervención del usuario y personalización de la negociación SSL / TLS.

El Equipo de Investigación de Amenazas de Akamai concluye diciendo que "La lección clave aquí es que los delincuentes harán todo lo posible para evitar la detección y mantener sus esquemas. La capacidad de tener una gran visibilidad del tráfico de Internet a través del tiempo entra en juego cuando se trata de una evolución y tácticas de evasión ".

No tienes permitido ver los links. Registrarse o Entrar a mi cuenta