Sophos cho biết, 23% số lượng mã độc mà họ phát hiện vào năm 2020 đã được mã hóa bằng giao thức Bảo mật Tầng Giao vận (Transport Layer Security - TLS). Tuy nhiên, trong ba tháng đầu năm 2021, con số này đã tăng lên gần 46%.
Nhà nghiên cứu cấp cao về mối đe dọa của hãng là Sean Gallagher giải thích rằng, sự gia tăng này có thể liên quan đến sự gia tăng tổng thể trong việc các tác nhân đe dọa lạm dụng việc sử dụng TLS của các dịch vụ web phổ biến.
Ông giải thích, một phần lớn sự gia tăng trong việc lợi dụng TLS có thể liên quan đến việc tăng cường sử dụng các dịch vụ web và đám mây hợp pháp được bảo vệ bởi TLS, chẳng hạn như Discord, Pastebin, GitHub và các dịch vụ đám mây của Google. Các dịch vụ này đã trở thành kho lưu trữ các thành phần mã độc, như là điểm chuyển tới để lưu trữ dữ liệu bị đánh cắp, và thậm chí để gửi lệnh tới mạng botnet và các loại mã độc khác.
Theo ông, điều này cũng liên quan đến việc tăng cường sử dụng trình duyệt Tor và các proxy mạng dựa trên TLS khác để đóng gói các thông tin liên lạc độc hại giữa mã độc và các tác nhân độc hại triển khai chúng.
Ông Gallagher tuyên bố, thách thức đặt ra là tin tặc sử dụng các dịch vụ này không chỉ che giấu hành vi của mình khỏi các công cụ bảo mật, mà còn được hưởng lợi từ sự “an toàn” của các nền tảng nổi tiếng này.
Gần một nửa số mã độc được mã hóa đã được gửi đến các máy chủ ở Mỹ và Ấn Độ trong quý 1/2021, trong đó các dịch vụ đám mây của Google là điểm chuyển tới của 9% mã độc TLS, và dịch vụ đám mây của BSNL (một doanh nghiệp thuộc chính phủ và là nhà cung cấp dịch vụ viễn thông) của Ấn Độ với 6%.
Ông Gallagher cho hay, Sophos cũng đã thấy sự gia tăng trong việc sử dụng mã hóa TLS trong các cuộc tấn công mã độc tống tiền tùy chỉnh, dưới dạng “công cụ tấn công mô-đun” sử dụng HTTPS. Tuy nhiên, phần lớn lưu lượng truy cập TLS độc hại là từ mã độc được thiết kế để thực hiện sự xâm nhập nạn nhân vào giai đoạn đầu - ví dụ: trình tải, trình nhỏ giọt và trình cài đặt dựa trên tài liệu.
Theo Gallagher, mã hóa TLS cũng đang bị sử dụng để che giấu việc trích xuất dữ liệu từ các mạng bị xâm nhập và giao tiếp với máy chủ C&C.
Đỗ Đoàn Kết
(Theo Info Security)
09:00 | 28/02/2019
07:00 | 06/07/2018
13:00 | 11/06/2021
13:00 | 09/05/2018
15:00 | 09/06/2021
17:00 | 19/11/2021
10:00 | 24/12/2024
Mới đây, các nhà nghiên cứu an ninh mạng đã phát hiện một rootkit mới có tên là Pumakit trên hệ điều hành Linux, được thiết kế với nhiều lớp để ẩn mình và leo thang đặc quyền một cách tinh vi.
08:00 | 16/12/2024
Ngày 3/12, Trung tâm An ninh mạng quốc gia Anh (NCSC) vừa công bố đánh giá thường niên cho thấy các cuộc tấn công mạng nghiêm trọng nhằm vào các tổ chức và công ty của nước này trong 12 tháng qua đã tăng gấp 3 lần năm 2023, trong đó có các sự cố lớn ảnh hưởng đến các bệnh viện ở London và Thư viện quốc gia Anh.
08:00 | 01/11/2024
Báo cáo mới đây của hãng bảo mật Trend Micro (Mỹ) cho biết, nhóm gián điệp mạng OilRig có liên hệ với Iran đã tăng cường các hoạt động tấn công mạng nhằm vào các thực thể chính phủ của các nước khu vực Vùng Vịnh.
09:00 | 08/10/2024
Một lỗ hổng bảo mật nghiêm trọng trong Microchip Advanced Software Framework (ASF) mới được phát hiện gần đây, nếu khai thác thành công có thể dẫn đến việc thực thi mã từ xa.
Một lỗ hổng mới trong cơ chế UEFI Secure Boot, được theo dõi với mã CVE-2024-7344, đã được phát hiện, cho phép kẻ tấn công triển khai bootkit ngay cả khi Secure Boot đang được kích hoạt.
14:00 | 24/01/2025