La comunicazione malevola può essere nascosta abbastanza bene nel traffico di rete crittografato?

1

Dato che molti siti Web utilizzano ora TLS / https per crittografare tutto il traffico di rete: se una macchina client è compromessa e deve stabilire un canale back per un C & C-Server per ulteriori istruzioni e per l'estrazione dei dati, può essere nascosto con successo nel traffico HTTPS?

I sistemi di rilevamento delle intrusioni basati sulla rete hanno - a meno che non si utilizzi un proxy HTTPS - poca conoscenza di quali altre risorse devono essere caricate dopo il caricamento iniziale della pagina. Se il malware invia un heartbeat utilizzando dati di intestazione sospetti su una richiesta HTTPS (e riprende il compito in forma di un'immagine forse trattata con steganografia, l'IDS basato su rete regolare può prenderlo se le richieste DNS non attivano nulla e gli IP sono non su una lista nera?

Inoltre, dato che la porta 443 è solitamente consentita nei firewall (e di solito le connessioni stabilite sono consentite), questo sembra essere un buon posto per nascondersi in bella vista.

Come si può determinare che questo sia contenuto dannoso quando è correttamente crittografato? Ciò potrebbe consentire al malware di nascondere la sua comunicazione dal punto di vista della maggior parte delle analisi?

Quali sono i modi possibili per rilevare e rilevare il malware che nasconde le sue comunicazioni in questo modo, ovvero inviare una singola richiesta ogni volta che deve e c'è comunque un elevato traffico https verso diversi server in corso, ad esempio con un caricamento iniziale di Facebook ?

    
posta Tobi Nary 01.11.2017 - 10:20
fonte

1 risposta

3

Mentre HTTPS rende molto più difficile rilevare il malware dal carico utile del traffico, la comunicazione può anche essere nascosta con un semplice HTTP. Ciò viene fatto ad esempio crittografando i messaggi trasferiti con un segreto condiviso o utilizzando tecniche steganografiche.

Tuttavia, il rilevamento potrebbe essere ancora possibile guardando i metadati del traffico anziché il contenuto. Tali metadati sono ad esempio i modelli di traffico: anche con TLS la direzione e la dimensione del traffico sono ancora visibili, cioè può essere vista quando viene inviata una richiesta e quando viene ricevuta una risposta. Visitando una pagina HTML con un browser normale si otterranno scoppi di richiesta + risposta poiché il caricamento della pagina HTML causerà il download delle risorse incorporate. Altri metadati sono le caratteristiche dell'handshake TLS, come i codici forniti dal cliente e in quale ordine, quali estensioni TLS sono utilizzate, quale tipo di certificato viene restituito, ecc. Altri meta dati sono l'obiettivo e i tempi della richiesta, relazione a Traffico DNS ecc.

C'è stata un'interessante ricerca di Cisco su questo argomento, vedi per esempio Rilevazione del malware crittografato Traffico (senza decrittografia) . Alla fine di questo link troverai anche i riferimenti per ulteriori ricerche.

    
risposta data 01.11.2017 - 10:38
fonte

Leggi altre domande sui tag