Операторы вредоносного ПО и ботнетов все время меняют тактику, стараясь на шаг-два опережать развитие защитных технологий. Одним из тактических приемов, получивших большое распространение в этом сообществе, является использование SSL-протокола для связи с зараженными машинами. Исследователи из швейцарского ИБ-проекта Abuse.ch выступили с новой инициативой, решив отслеживать и публиковать сертификаты, ассоциируемые с вредоносной активностью.

Запущенный ими ресурс SSL Black List (SSLBL) предоставляет открытый доступ к черным спискам, составляемым на основе записей в общей базе. Каждая запись включает хэш SHA-1 сертификата с указанием причины занесения в базу (например, ZeuS C&C или Vawtrak MitM). На настоящий момент в базе Abuse.ch числятся около 130 SSL-сертификатов, многие из которых связаны с именами хорошо известных ботнетов и зловредов, таких как Shylock, KINS, ZeuS.

«Задачей SSLBL является обеспечение списка «плохих» SHA1-отпечатков сертификатов, которые ассоциируются с деятельностью вредоносных программ и ботнетов, — говорится в анонсе Abuse.ch. — В настоящее время SSLBL поддерживает черные списки IP-адресов и SHA1-хэшей в формате CSV и в формате правил Suricata. С помощью SSLBL можно с высокой вероятностью обнаружить C&C-трафик ботнетов, использующих SSL, таких как KINS (он же VM ZeuS) и Shylock».

В последние годы специалисты пытаются разными способами укрепить хрупкую систему сертификации. Google, например, предложила ввести понятие certificate transparency — прозрачности сертификата и сделать списки сертификатов открытыми. Такая система предполагает ведение публичного журнала всех выданных сертификатов и требует добровольного сотрудничества со стороны удостоверяющих центров.

«После внедрения Certificate Transparency помогает защититься от нескольких угроз сертификатного характера, включая ошибочную и злонамеренную выдачу сертификатов, а также вредоносные удостоверяющие центры, — отмечают разработчики. — Эти угрозы могут отразиться на финансовой ответственности владельцев домена, подорвать репутацию легитимных удостоверяющих центров и подвергнуть пользователей Интернета широкому диапазону атак, таких как атака подмены веб-сайта, имитации сервера и «человек посередине».

Категории: Кибероборона