Dato che molti siti Web utilizzano ora TLS / https per crittografare tutto il traffico di rete: se una macchina client è compromessa e deve stabilire un canale back per un C & C-Server per ulteriori istruzioni e per l'estrazione dei dati, può essere nascosto con successo nel traffico HTTPS?
I sistemi di rilevamento delle intrusioni basati sulla rete hanno - a meno che non si utilizzi un proxy HTTPS - poca conoscenza di quali altre risorse devono essere caricate dopo il caricamento iniziale della pagina. Se il malware invia un heartbeat utilizzando dati di intestazione sospetti su una richiesta HTTPS (e riprende il compito in forma di un'immagine forse trattata con steganografia, l'IDS basato su rete regolare può prenderlo se le richieste DNS non attivano nulla e gli IP sono non su una lista nera?
Inoltre, dato che la porta 443 è solitamente consentita nei firewall (e di solito le connessioni stabilite sono consentite), questo sembra essere un buon posto per nascondersi in bella vista.
Come si può determinare che questo sia contenuto dannoso quando è correttamente crittografato? Ciò potrebbe consentire al malware di nascondere la sua comunicazione dal punto di vista della maggior parte delle analisi?
Quali sono i modi possibili per rilevare e rilevare il malware che nasconde le sue comunicazioni in questo modo, ovvero inviare una singola richiesta ogni volta che deve e c'è comunque un elevato traffico https verso diversi server in corso, ad esempio con un caricamento iniziale di Facebook ?