混淆加密流量规避检测：黑客利用加密流量趋势明显

黑客组织开始篡改Web流量加密，致传输层安全(TLS)连接指纹数量1年内从1.9万飙升至 14亿 。

互联网基础设施及安全公司的阿卡迈称，网络攻击者采用所谓 “密码阻碍( Cipher Stunting )” 技术，试图通过混淆加密流量的方式规避检测。

密码阻碍技术篡改以安全套接字(SSL)和传输层安全(TLS)加密的通信指纹。将加密流量指纹识别作为攻击识别途径之一的阿卡迈公司发现，最近几个月初始握手请求( Client Hello 包)变种数量激增，从2018年8月惯常的数千个，猛增到今年2月的1亿个以上。合法使用时，每个变种代表着加密软件、浏览器、操作系统和加密包配置的不同组合。该公司在博客分析文章中指出，这么大规模的变化前所未见。

尽管变种数量猛增可能是由于合法软件行为或某种软件缺陷，但最有可能的解释却是攻击者试图规避检测或伪装成大量不同系统。

阿卡迈威胁研究总监 Moshe Zioni 称：

我们推断，绝大部分变种是用基于 Java 的 工具 做出的。此类工具的存在意味着这是网络攻击者的主动隐藏行为，是种不错的检测规避方法。

Client Hello包变种的激增是攻击者与防御者之间猫鼠游戏的最新升级。阿卡迈表示，82%的恶意流量使用加密通信。由于SSL和TLS太过普遍，很多公司都把加密流量指纹识别作为流量分类的一种技术。但因为通信内容是加密的，防御者只能利用客户端和服务器之间的明文初始握手包。

指纹识别是有局限性的。初始握手包变种的激增就是这种局限性的绝佳例证。只要防御者尝试对设备进行指纹识别，攻击者要做的第一件事就是随机化该指纹特征。

攻击者的目标就是要让某台主机或主机网络看起来像成千上万的用户设备。

用客户端和服务器之间的初始握手特征对加密通信进行指纹识别始于至少10年前。早在2009年，漏洞管理与合规解决方案提供商Qualys的研究人员 Ivan Ristic 便描述了以SSL特征对客户端及服务器进行指纹识别的多种方法。2015年的DerbyCon大会上，Leviathan Security Group 高级安全顾问 Lee Brotherston 描述了防御者如何使用TLS指纹识别更好地检测威胁。

TLS指纹识别最大的好处就是人们不太会定期更新自己的加密方式。甚至定期发布的著名浏览器各版本之间也共享同一套加密机制。至于恶意软件，从未真正改动过自己的加密签名。

阿卡迈经常观察浏览器客户端与服务器间建立安全连接时由客户端发出的 Client Hello 包。这些包使得有权访问该网络的任何人都可以通过指纹识别出特定客户端。Client Hello 包中含有的域包括TLS版本、会话ID、加密套件选项和扩展及压缩方法。

阿卡迈在分析中称：观察客户端在TLS连接建立期间的行为方式有利于指纹识别，能将攻击者与合法用户区分开来。执行指纹识别时，我们的目标是挑选出所有由客户端发送出的协商组件。

攻击者试图搅浑水。2018年8月，阿卡迈收集了来自其全球网络的18,652个不同指纹，代表着所有可能指纹的一部分。但2018年9月，攻击者开始随机化加密包的特征。到今年2月，特征指纹数量达到了14亿之巨。

大部分随机化发生在试图使用其他网站被盗登录凭证拿下阿卡迈客户账户的流量上。

随着随机指纹的爆发，防御者对特定恶意软件的识别与分类出现了问题，但仍能检测行为异常的TLS加密请求。

目前可用的SSL/TLS协议栈实现相对较少，随机化和恶意行为之间的关联性很强。

阿卡迈博客分析文章：

https://blogs.akamai.com/sitr/2019/05/bots-tampering-with-tls-to-avoid-detection.html