混淆加密流量规避检测:黑客利用加密流量趋势明显

栏目: 编程工具 · 发布时间: 5年前

内容简介:黑客组织开始篡改Web流量加密,致传输层安全(TLS)连接指纹数量1年内从1.9万飙升至互联网基础设施及安全公司的阿卡迈称,网络攻击者采用所谓 “密码阻碍( Cipher Stunting )” 技术,试图通过混淆加密流量的方式规避检测。

黑客组织开始篡改Web流量加密,致传输层安全(TLS)连接指纹数量1年内从1.9万飙升至 14亿

混淆加密流量规避检测:黑客利用加密流量趋势明显

互联网基础设施及安全公司的阿卡迈称,网络攻击者采用所谓 “密码阻碍( Cipher Stunting )” 技术,试图通过混淆加密流量的方式规避检测。

密码阻碍技术篡改以安全套接字(SSL)和传输层安全(TLS)加密的通信指纹。将加密流量指纹识别作为攻击识别途径之一的阿卡迈公司发现,最近几个月初始握手请求( Client Hello 包)变种数量激增,从2018年8月惯常的数千个,猛增到今年2月的1亿个以上。合法使用时,每个变种代表着加密软件、浏览器、操作系统和加密包配置的不同组合。该公司在博客分析文章中指出,这么大规模的变化前所未见。

尽管变种数量猛增可能是由于合法软件行为或某种软件缺陷,但最有可能的解释却是攻击者试图规避检测或伪装成大量不同系统。

阿卡迈威胁研究总监 Moshe Zioni 称:

我们推断,绝大部分变种是用基于 Java工具 做出的。此类工具的存在意味着这是网络攻击者的主动隐藏行为,是种不错的检测规避方法。

Client Hello包变种的激增是攻击者与防御者之间猫鼠游戏的最新升级。阿卡迈表示,82%的恶意流量使用加密通信。由于SSL和TLS太过普遍,很多公司都把加密流量指纹识别作为流量分类的一种技术。但因为通信内容是加密的,防御者只能利用客户端和服务器之间的明文初始握手包。

指纹识别是有局限性的。初始握手包变种的激增就是这种局限性的绝佳例证。只要防御者尝试对设备进行指纹识别,攻击者要做的第一件事就是随机化该指纹特征。

攻击者的目标就是要让某台主机或主机网络看起来像成千上万的用户设备。

用客户端和服务器之间的初始握手特征对加密通信进行指纹识别始于至少10年前。早在2009年,漏洞管理与合规解决方案提供商Qualys的研究人员 Ivan Ristic 便描述了以SSL特征对客户端及服务器进行指纹识别的多种方法。2015年的DerbyCon大会上,Leviathan Security Group 高级安全顾问 Lee Brotherston 描述了防御者如何使用TLS指纹识别更好地检测威胁。

TLS指纹识别最大的好处就是人们不太会定期更新自己的加密方式。甚至定期发布的著名浏览器各版本之间也共享同一套加密机制。至于恶意软件,从未真正改动过自己的加密签名。

阿卡迈经常观察浏览器客户端与服务器间建立安全连接时由客户端发出的 Client Hello 包。这些包使得有权访问该网络的任何人都可以通过指纹识别出特定客户端。Client Hello 包中含有的域包括TLS版本、会话ID、加密套件选项和扩展及压缩方法。

阿卡迈在分析中称:观察客户端在TLS连接建立期间的行为方式有利于指纹识别,能将攻击者与合法用户区分开来。执行指纹识别时,我们的目标是挑选出所有由客户端发送出的协商组件。

攻击者试图搅浑水。2018年8月,阿卡迈收集了来自其全球网络的18,652个不同指纹,代表着所有可能指纹的一部分。但2018年9月,攻击者开始随机化加密包的特征。到今年2月,特征指纹数量达到了14亿之巨。

大部分随机化发生在试图使用其他网站被盗登录凭证拿下阿卡迈客户账户的流量上。

随着随机指纹的爆发,防御者对特定恶意软件的识别与分类出现了问题,但仍能检测行为异常的TLS加密请求。

目前可用的SSL/TLS协议栈实现相对较少,随机化和恶意行为之间的关联性很强。

阿卡迈博客分析文章:

https://blogs.akamai.com/sitr/2019/05/bots-tampering-with-tls-to-avoid-detection.html


以上就是本文的全部内容,希望对大家的学习有所帮助,也希望大家多多支持 码农网

查看所有标签

猜你喜欢:

本站部分资源来源于网络,本站转载出于传递更多信息之目的,版权归原作者或者来源机构所有,如转载稿涉及版权问题,请联系我们

C# 6.0本质论

C# 6.0本质论

[美] Mark Michaelis(马克·米凯利斯)、[美] Eric Lippert(埃里克·利珀特) / 周靖、庞燕 / 人民邮电出版社 / 2017-2-1 / 108

这是C#领域中一部广受好评的名作,作者用一种易于理解的方式详细介绍了C#语言的各个方面。全书共有21章和4个附录(其中哟2个附录从网上下载),介绍了C#语言的数据类型、操作符、方法、类、接口、异常处理等基本概念,深入讨论了泛型、迭代器、反射、线程和互操作性等高级主题,还介绍了LINQ技术,以及与其相关的扩展方法、分部方法、Lambda表达式、标准查询操作符和查询表达式等内容。每章开头的“思维导图”......一起来看看 《C# 6.0本质论》 这本书的介绍吧!

HTML 压缩/解压工具
HTML 压缩/解压工具

在线压缩/解压 HTML 代码

Markdown 在线编辑器
Markdown 在线编辑器

Markdown 在线编辑器

HEX CMYK 转换工具
HEX CMYK 转换工具

HEX CMYK 互转工具