Операторы зловредных кампаний научились манипулировать с защищенными соединениями, чтобы скрывать свою активность от обнаружения. Техника построена на подмене содержимого приветственных сообщений, которые боты отправляют веб-серверам.

Исследователи Akamai назвали обнаруженную технику «трюки с шифрованием» (Cipher Stunting). По их словам, первые случаи ее применения относятся к началу 2018 года, а с сентября популярность метода выросла взрывными темпами. Цель злоумышленников состоит в том, чтобы помешать защитным системам соотнести те или иные пакеты данных с вредоносными клиентами.

Как пояснили эксперты, сегодня подавляющее большинство (82%) кибератак происходит с использованием соединений по протоколам SSL/TLS. Злоумышленники следуют за развитием Интернета в целом — по данным экспертов, к концу 2019 года 90% мирового трафика будет идти по защищенным каналам.

Первое сообщение, которое отправляет клиент серверу при установлении такого соединения — это Client Hello, приветственный пакет с базовой информацией о параметрах коммуникации. Туда входит желаемая версия TLS, список поддерживаемых методов сжатия, возможные методы шифрования (CipherSuites). Все эти данные отправляются в открытом виде, позволяя экспертам снимать и анализировать цифровые отпечатки клиентов, определяя по ним легитимных и вредоносных участников.

Вплоть до августа 2018 года эксперты насчитывали в Интернете чуть менее 19 тыс. таких отпечатков. Столь малое количество объясняется ограниченным набором возможных комбинаций браузера и ОС пользователей, которые в основном и определяют уникальность клиента. Начиная с сентября их количество стало резко увеличиваться — 255 млн в октябре, 1,3 млрд в феврале.

Как показал дальнейший анализ, преступники стали добавлять случайные значения в блок CipherSuites. Это меняет хешированные значения Client Hello и создает лавину уникальных отпечатков. Исследователи связали активность таких клиентов с автоматизированными атаками на сайты авиакомпаний, банков и сервисов онлайн-знакомств.

Эксперты пришли к выводу, что злоумышленники редактируют данные с помощью некой программы на Java. В настоящий момент специалисты научились определять в общем потоке данных отредактированные сообщения Client Hello и блокировать нежелательную активность.

В 2018 году разработчики Apple, Mozilla, Cloudflare и Fastly предложили способ повысить безопасность приветственных сообщений TLS-соединения. Новая технология позволит шифровать часть важных данных, защищая их от перехвата сторонними участниками.

Категории: Аналитика, Вредоносные программы