Verdoppelung von Malware in SSL- und TLS-Datenverkehr

DIG5906-ssl-infoGraphic-R2-01Aug17

Technisch ausgereifte Schadprogramme setzen vermehrt auf Verschlüsselung für ihre Angriffe

Verschlüsselter Datenverkehr ist in den letzten Monaten zu einer der größten Gefahrenquellen für Unternehmensdaten avanciert. Hinter SSL, TLS oder HTTPS verbergen Hacker zunehmend mehr Malware, wie der nun veröffentlichte Threat-Report des ersten Halbjahres 2017 des Zscaler ThreatLabZ Research-Teams belegt.

Mittlerweile ist mehr als die Hälfte des gesamten Internetverkehrs, der durch die Zscaler Cloud geschickt wird, verschlüsselt. Dazu zählt sowohl der Traffic, der noch auf die Verschlüsselung mit dem Secure Sockets Layer (SSL)-Protokoll setzt, als auch die aktuellere Variante des Transport Layer Security (TLS)-Protokolls. Sitzungen über beide Protokolle werden anhand des HTTPS-Prefix einer Webseiten-Adresse im Browser angezeigt. In der jüngsten Studie durchleuchteten die Security-Spezialisten den verschlüsselten Datenverkehr auf darin verborgenen Schadcode.

Die Ergebnisse sind alarmierend: Schadcode, der hinter SSL-Verschlüsselung transportiert wird, hat sich alleine in den vergangenen sechs Monaten mehr als verdoppelt. Hacker setzen auf die Verschlüsselung, um ihre Malware versteckt in Unternehmensnetze einzuschleusen. Sie nutzen dabei gezielt aus, dass Unternehmen die Malware-Analyse des verschlüsselten Datenverkehrs in ihrem Sicherheitskonzept noch zu selten berücksichtigen: Einerseits sind ihre vorhandenen Sicherheitssysteme meist nicht leistungsfähig genug, um verschlüsselten Datenverkehr performant und damit ohne große Latenz für den Malware-Scan aufzubrechen, andererseits stehen Bedenken der Betriebsräte hinsichtlich des Datenschutzes im Raum.

Somit stehen Unternehmen vor einer paradoxen Situation: Eigentlich verspricht der verschlüsselte Datenverkehr ein höheres Sicherheitsniveau für sensible Unternehmensdaten, die über das Internet übertragen werden. Allerdings stellt sich diese Sicherheit als trügerisch heraus, wenn man den hinter SSL verborgenen Schadcode genauer analysiert. Im Halbjahres-Threat-Report werden die entdeckten Malware-Familien beschrieben und Empfehlungen zum besseren Schutz von Organisationen vorgestellt.

Zscaler ThreatLabZ Research

SSL-Verschlüsselung schützt nicht vor Malware

Verschlüsselung schützt nicht nur Daten, sondern versteckt auch schädliche Payloads: im Durchschnitt wurden in der ersten Jahreshälfte 2017 pro Tag in der Zscaler Cloud mehr als 8,4 Millionen SSL/TLS-Anfragen geblockt. Darunter befanden sich 600.000 gefährliche Advanced Threats, womit sich die Anzahl der hinter Verschlüsselung verborgenen schädlichen Inhalte in sechs Monaten mehr als verdoppelt hat. Unter den aufgespürten Schadcode-Familien dominierten Exploit Kits, Malware, Adware und Malware Callbacks.

Web Exploits nutzen Anwendervertrauen aus

Cyberkriminelle setzen auf das vorherrschende Vertrauen um ihre Profitziele zu erreichen. Dabei werden beispielsweise SSL/TLS-fähige Werbenetzwerke zweckentfremdet, um schädliche Scripts in Webseiten zu injizieren. Surft ein Anwender auf eine Webseite mit einer infizierten Werbeschaltung, können sie durch das Ausspähen persönlicher Informationen oder Daten zu Opfern der Malware werden. Eine weitere Betrugsmasche ist die Ausbeutung frei verfügbarer SSL/TLS-Zertifikate für die Aktivitäten der Angreifer. Mit Hilfe dieser Zertifikate wird HTTPS auf den schädlichen Domains der Angreifer unterstützt und die SSL/TLS-Sicherheitschecks der Web-Browser umgangen. Eine solche Konstellation bringt Unternehmen in Gefahr, die den SSL-Datenverkehr nicht aufbrechen können, denn das Blocken von IPs oder Domains ist bei einem solchen Angriffsszenario unwirksam. Durchschnittlich 10.000 Web -Exploit- basierter Angriffe in SSL/TLS-Daten konnte Zscaler in den vergangenen Monaten entdecken.

Phishing-Angriffe unterlaufen Perimeterschutz

Auch die Anzahl der legitimen Webseiten, die mit Phishing-Seiten zum Abgreifen persönlicher Daten hinterlegt sind, sind auf dem Vormarsch. Die Anzahl der SSL-verschlüsselten Phishing-Angriffe ist im Vergleich zum Jahr 2016 um 400 Prozent gestiegen. Durchschnittlich 12.000 Phishing-Versuche wurden in der ersten Jahreshälfte pro Tag in der Zscaler Cloud geblockt, die ihre Aktivitäten hinter SSL/TLS-Verschlüsselung verbargen. Da viele der legitimen Webseiten bereits SSL/TLS unterstützen, sind entsprechende Sicherheitslösungen vonnöten, die die leistungsfähige Untersuchung der verschlüsselten Seiten ermöglichen.

Callback-Datenverkehr hinter SSL/TLS-Verschlüsselung

Bedingt durch Verschlüsselung steigt die Komplexität von Callback-Aktivitäten. Durch die Allgegenwart verschlüsselter Seiten setzen Angreifer darauf, auch Command-and-Control-Datenverkehr zu verschleiern. Anonymizer wie Tor helfen darüber hinaus beim Verstecken von C&C-Servern. Auch Botnets setzen vermehrt auf SSL/TLS sowie selbst-signierte Zertifikate, die anhand von Namen und damit einhergehenden Unternehmen gefälscht werden. Im Jahr 2017 wurden durchschnittlich pro Tag mehr als 5.000 verschlüsselte C&C-Versuche in der Zscaler Cloud geblockt.

Verbreitung verschlüsselter Malware-Familien über C&C-Daten

Command-and-Control-Kommunikation ist ein integraler Bestandteil von Malware um Informationen abzufischen. In der Zscaler Cloud-Sandbox wird ein Anstieg dieser Malware-Familien nachgewiesen, die auf Verschlüsselung setzen. Die hierbei nachgewiesenen 60 Prozent der Malware bestand aus Trojaner- und Banking-Familien wie Trickbot, Zbot, Vawtrack und Dridex. Weitere 25 Prozent umfassten zeitgleich mehrere Ransomware-Familien. Zwölf Prozent stellten sogenannte Info-Stealing-Trojaner wie beispielsweise Fareit und Papras und drei Prozent der festgestellten Bedrohungen stammten von anderen Schadcode-Familien.

Angesichts der zunehmenden verschlüsselten Malware-Aktivität empfiehlt sich eine SSL-Inspektion, um die Sicherheit des Datenverkehrs im Unternehmensnetz zu gewährleisten.