54% der von Zscaler in der Security-Cloud geblockten Bedrohungen verbergen sich bereits hinter SSL-Verschlüsselung
Bereits die Hälfte des Internet-Datenverkehrs ist heute verschlüsselt – mit steigender Tendenz. Obwohl HTTPS-Webseiten für ein höhere Data Privacy sorgen, birgt die Verschlüsselung auch versteckte Gefahren. Da für einen Malware-Check von verschlüsseltem Traffic enorme Rechenleistung erforderlich ist, verzichten viele Unternehmen auf die Überprüfung, um die Datenströme durch die Untersuchung nicht auszubremsen. Diese Tatsache nutzen Hacker gezielt aus, indem sie zunehmend mehr Schadcode hinter der Verschlüsselung verbergen, wie ein aktueller Report des Zscaler ThreatLabs-Teams zeigt: Durchschnittlich 600.000 schädliche Aktivitäten pro Tag wurden in der globalen Sicherheits-Cloud blockiert, die sich hinter SSL-Verschlüsselung verstecken. Exploit Kit-Datenverkehr, Malware und deren Callbacks sowie hinter SSL-Traffic verborgene Adware zählten im Untersuchungszeitraum von August 2016 bis Januar 2017 zu den am häufigsten beobachteten Schadkategorien. In allen genannten Bereichen nahm die Aktivität kontinuierlich zu, wobei die Spitzen der Grafik besonders häufige Verbreitung und dementsprechende Blockaden in der Sicherheits-Cloud verdeutlichen.
Total SSL Blocks, Quelle: Zscaler
Gefährliche Malware setzt auf Verschlüsselung
Durchschnittlich 10.000 Treffer pro Monat von Web Exploits wurden erkannt, die als Teil des Infektionszyklus auf SSL-Verschlüsselung setzten. Die Malware nutzt beispielsweise Advertising-Netze, um Schadcode in legitime Webseiten zu injizieren. Auch kostenlose SSL-Zertifikate werden missbraucht, um durch Schadcode-verseuchte Domains hinter HTTPS zu verbergen und dadurch die Sicherheits-Checks der Browser zu umgehen.
Nach dem gleichen Muster laufen Phishing-Attacken ab. Legitime Webseiten werden kompromittiert und eine Phishing-Seite zum Abgreifen persönlicher Daten dort platziert. Einhergehend mit dem Anstieg der Zahl an SSL-verschlüsselten Webseiten war auch ein Anstieg von Phishing-Angriffen zu verzeichnen. In den letzten drei Monaten identifizierte die Zscaler Security Cloud 3.000 versuchte Phishing-Angriffe pro Tag, die hinter SSL-Verschlüsselung lanciert wurden, was durch einen deutlichen Anstieg und höhere Ausschläge in der Grafik verdeutlicht wird.
Pishing, Quelle: Zscaler
Auch Anonymisierungs-Dienste, wie beispielsweise Tor, werden von Malware dazu benutzt, um den Standort ihrer Command & Control-Server (C&C-Server) zu verbergen. Sie verbinden sich via SSL über ansonsten legitime HTTP-Tor Gateways. Botnets setzten dabei typischerweise selbst-signierte SSL-Zertifikate ein, die nicht selten die Namen und Informationen realer Unternehmen annehmen, um legitim zu erscheinen.
Unter den entdeckten Schadcodes, die nach diesem Prinzip vorgehen, sind durchaus bekannte Malware-Familien identifiziert worden, wie beispielsweise die Banking-Trojaner Dridex, Dyre und TrickLoader. Auch die ausgefeilte Malware-Familie Vawtrak kann eine HTTPS-Verbindung initiieren und dahinter regelmäßige Updates von C&C-Servern verbergen, ebenso wie der Stealth Banking Trojaner Gootkit, der für seine Spionageaktivitäten auf Verschlüsselung baut und dazu besonders heimtückisch auf eine Infektion setzt, die schon allein durch einen Webseitenaufruf ausgelöst wird.
Unerwünschte Werbung wird hinter SSL verbreitet
Adware injiziert unerwünschte Werbung in den Web-Datenverkehr und löst auf diese Weise auch bösartige Infektionen aus. Die Malware-Autoren binden dazu manche Advertising-Netzwerke in ihre Aktivitäten ein und verbreiten darüber Exploit Redirect-Skripte. Superfish und PrivDog sind die bekanntesten Beispiele von Adware-Distributionen, die bereits seit 2015 SSL missbrauchen. Sie installieren dazu ein selbst-signiertes Root CA-Zertifikat auf dem Rechner des Opfers und fangen den Web-Datenverkehr ab um Werbung in Webseiten einzuschleusen. PrivDog stellt ein besonderes Risiko dar, da es SSL-Zertifikate nicht verifiziert und damit Anwender auf Webseiten mit ungültigen Zertifikaten navigieren lässt, die ein zusätzliches Gefahrenpotenzial darstellten.
Adware-Varianten, wie InstallCore, gehen noch einen Schritt weiter und hosten ihre Daten bereits auf HTTPS-Seiten. Als Potentially Unwanted Application (PUA) installiert sie ein Programm, um Werbung anzuzeigen und/oder unerwünschte Werbung und Toolbars herunterzuladen. Zudem wird die Web-Nutzung des Computers ausspioniert, um dann Pop-ups nachzuladen oder sogar den Browser zu kapern und den Anwender auf weitere Seiten umzuleiten. Diese Adware fängt sich ein Anwender meist durch ein gefälschtes Flash-Plugin oder Java-Update auf Content Distribution-Seiten ein, die mit HTTPS arbeiten.
Wirksame Gegenmaßnahme: SSL-Scanning
Die Gefahr besteht in der trügerischen Sicherheit, in der sich Unternehmen wiegen, wenn sie den SSL-verschlüsselten Datenverkehr nicht in den Sicherheits-Check einbeziehen. IP- und Domain-Blocking zur Identifikation von Gefahren reicht heutzutage schon lange nicht mehr aus für die Unternehmenssicherheit. Oftmals wird von Unternehmen das Argument ins Feld geführt, dass aus Datenschutzgründen der SSL-Traffic nicht untersucht werden kann.
Angesichts der von dem Report aufgedeckten Malware-Angriffen und Vorgehensweisen tun Organisationen gut daran, sich mit dem Gefahrenpotenzial des verschlüsselten Datenverkehrs gezielt auseinanderzusetzen. Und auch mit den technischen Möglichkeiten und Prozessen, durch die der Datenschutz mit der gebotenen Datensicherheit in Einklang zu bringen ist. SSL-Inline-Scanning und vor allem Interception und Blocking von schädlichem Datenverkehr kann rechtskonform unterbunden werden, wenn Unternehmen entsprechende Maßnahmen ergreifen.
