Sophos cho biết, 23% số lượng mã độc mà họ phát hiện vào năm 2020 đã được mã hóa bằng giao thức Bảo mật Tầng Giao vận (Transport Layer Security - TLS). Tuy nhiên, trong ba tháng đầu năm 2021, con số này đã tăng lên gần 46%.
Nhà nghiên cứu cấp cao về mối đe dọa của hãng là Sean Gallagher giải thích rằng, sự gia tăng này có thể liên quan đến sự gia tăng tổng thể trong việc các tác nhân đe dọa lạm dụng việc sử dụng TLS của các dịch vụ web phổ biến.
Ông giải thích, một phần lớn sự gia tăng trong việc lợi dụng TLS có thể liên quan đến việc tăng cường sử dụng các dịch vụ web và đám mây hợp pháp được bảo vệ bởi TLS, chẳng hạn như Discord, Pastebin, GitHub và các dịch vụ đám mây của Google. Các dịch vụ này đã trở thành kho lưu trữ các thành phần mã độc, như là điểm chuyển tới để lưu trữ dữ liệu bị đánh cắp, và thậm chí để gửi lệnh tới mạng botnet và các loại mã độc khác.
Theo ông, điều này cũng liên quan đến việc tăng cường sử dụng trình duyệt Tor và các proxy mạng dựa trên TLS khác để đóng gói các thông tin liên lạc độc hại giữa mã độc và các tác nhân độc hại triển khai chúng.
Ông Gallagher tuyên bố, thách thức đặt ra là tin tặc sử dụng các dịch vụ này không chỉ che giấu hành vi của mình khỏi các công cụ bảo mật, mà còn được hưởng lợi từ sự “an toàn” của các nền tảng nổi tiếng này.
Gần một nửa số mã độc được mã hóa đã được gửi đến các máy chủ ở Mỹ và Ấn Độ trong quý 1/2021, trong đó các dịch vụ đám mây của Google là điểm chuyển tới của 9% mã độc TLS, và dịch vụ đám mây của BSNL (một doanh nghiệp thuộc chính phủ và là nhà cung cấp dịch vụ viễn thông) của Ấn Độ với 6%.
Ông Gallagher cho hay, Sophos cũng đã thấy sự gia tăng trong việc sử dụng mã hóa TLS trong các cuộc tấn công mã độc tống tiền tùy chỉnh, dưới dạng “công cụ tấn công mô-đun” sử dụng HTTPS. Tuy nhiên, phần lớn lưu lượng truy cập TLS độc hại là từ mã độc được thiết kế để thực hiện sự xâm nhập nạn nhân vào giai đoạn đầu - ví dụ: trình tải, trình nhỏ giọt và trình cài đặt dựa trên tài liệu.
Theo Gallagher, mã hóa TLS cũng đang bị sử dụng để che giấu việc trích xuất dữ liệu từ các mạng bị xâm nhập và giao tiếp với máy chủ C&C.
Đỗ Đoàn Kết
(Theo Info Security)
09:00 | 28/02/2019
07:00 | 06/07/2018
13:00 | 11/06/2021
13:00 | 09/05/2018
15:00 | 09/06/2021
17:00 | 19/11/2021
08:00 | 17/04/2024
Các chuyên gia bảo mật cảnh báo rằng thế giới đang phải đối mặt với sự phát triển của những công nghệ mới, mối đe dọa đang ngày càng gia tăng cả về phạm vi, lẫn cường độ của các cuộc tấn công.
16:00 | 15/04/2024
Cisco đã chia sẻ một bộ hướng dẫn dành cho khách hàng nhằm giảm thiểu các cuộc tấn công password spray đang nhắm mục tiêu vào các dịch vụ VPN truy cập từ xa (RAVPN) được cấu hình trên các thiết bị tường lửa bảo mật của Cisco.
09:00 | 28/02/2024
Đội ngũ chuyên gia an ninh mạng tại Kaspersky liên tục theo dõi sự phức tạp của các mối đe dọa đối với tổ chức tài chính, bao gồm cả ngân hàng và các mối đe dọa có động cơ tài chính như phần mềm tống tiền đang lan rộng đến nhiều ngành công nghiệp khác nhau. Trong bài viết này, các chuyên gia bảo mật Kaspersky sẽ đánh giá lại các dự đoán của họ trong năm 2023 và đưa ra những xu hướng dự kiến sẽ nổi lên trong năm 2024.
07:00 | 08/01/2024
Mới đây, các nhà nghiên cứu an ninh mạng tới từ công ty bảo mật di động ThreatFabric (Hà Lan) cho biết một phiên bản cập nhật mới của Trojan ngân hàng Android có tên là Chameleon đang mở rộng mục tiêu nhắm tới người dùng ở Anh và Ý. Trojan này được phân phối thông qua Zombinder - một loại phần mềm Dropper dưới dạng dịch vụ (DaaS). Bài viết này sẽ tập trung phân tích biến thể mới của Chameleon với khả năng đặc biệt vượt qua tính năng xác thực sinh trắc học.
Công ty an ninh mạng Palo Alto Networks (Mỹ) chuyên cung cấp giải pháp tường lửa cảnh báo một lỗ hổng zero-day nghiêm trọng mới, với điểm CVSS tối đa 10/10. Nếu bị khai thác, kẻ tấn công có thể thực thi mã tùy ý với đặc quyền root mà không cần xác thực.
15:00 | 16/04/2024