Số lượng mã độc được mã hóa bằng TLS tăng gấp đôi chỉ sau vài tháng

14:07 | 13/05/2021

Theo Sophos (công ty bảo mật của Anh), số lượng mã độc được mã hóa bằng TLS đã tăng gấp đôi trong vài tháng gần đây vì các tác nhân đe dọa đang tìm cách phá vỡ các công cụ bảo mật.

Sophos cho biết, 23% số lượng mã độc mà họ phát hiện vào năm 2020 đã được mã hóa bằng giao thức Bảo mật Tầng Giao vận (Transport Layer Security - TLS). Tuy nhiên, trong ba tháng đầu năm 2021, con số này đã tăng lên gần 46%.

Nhà nghiên cứu cấp cao về mối đe dọa của hãng là Sean Gallagher giải thích rằng, sự gia tăng này có thể liên quan đến sự gia tăng tổng thể trong việc các tác nhân đe dọa lạm dụng việc sử dụng TLS của các dịch vụ web phổ biến.

Ông giải thích, một phần lớn sự gia tăng trong việc lợi dụng TLS có thể liên quan đến việc tăng cường sử dụng các dịch vụ web và đám mây hợp pháp được bảo vệ bởi TLS, chẳng hạn như Discord, Pastebin, GitHub và các dịch vụ đám mây của Google. Các dịch vụ này đã trở thành kho lưu trữ các thành phần mã độc, như là điểm chuyển tới để lưu trữ dữ liệu bị đánh cắp, và thậm chí để gửi lệnh tới mạng botnet và các loại mã độc khác.

Theo ông, điều này cũng liên quan đến việc tăng cường sử dụng trình duyệt Tor và các proxy mạng dựa trên TLS khác để đóng gói các thông tin liên lạc độc hại giữa mã độc và các tác nhân độc hại triển khai chúng.

Ông Gallagher tuyên bố, thách thức đặt ra là tin tặc sử dụng các dịch vụ này không chỉ che giấu hành vi của mình khỏi các công cụ bảo mật, mà còn được hưởng lợi từ sự “an toàn” của các nền tảng nổi tiếng này.

Gần một nửa số mã độc được mã hóa đã được gửi đến các máy chủ ở Mỹ và Ấn Độ trong quý 1/2021, trong đó các dịch vụ đám mây của Google là điểm chuyển tới của 9% mã độc TLS, và dịch vụ đám mây của BSNL (một doanh nghiệp thuộc chính phủ và là nhà cung cấp dịch vụ viễn thông) của Ấn Độ với 6%.

Ông Gallagher cho hay, Sophos cũng đã thấy sự gia tăng trong việc sử dụng mã hóa TLS trong các cuộc tấn công mã độc tống tiền tùy chỉnh, dưới dạng “công cụ tấn công mô-đun” sử dụng HTTPS. Tuy nhiên, phần lớn lưu lượng truy cập TLS độc hại là từ mã độc được thiết kế để thực hiện sự xâm nhập nạn nhân vào giai đoạn đầu - ví dụ: trình tải, trình nhỏ giọt và trình cài đặt dựa trên tài liệu.

Theo Gallagher, mã hóa TLS cũng đang bị sử dụng để che giấu việc trích xuất dữ liệu từ các mạng bị xâm nhập và giao tiếp với máy chủ C&C.