کشف بدافزارها در اتصالات TLS بدون رمزگشایی ترافیک کاربران

گروهی از محققان که برای شرکت سیسکو کار می‌کنند می‌گویند که ترافیک مخرب تونل TLS می‌تواند بدون رمزگشایی ترافیک کاربران شناسایی شده و مسدود شود. این خبر خوبی در محیط‌های سازمانی است، چرا که حفاظت‌های امروزی بر پایه رویکرد مناقشه‎برانگیز رمزگشایی برای بازرسی ترافیک شبکه متکی است.

در این مقاله محققان بلیک اندرسون، سابارتی پاول و دیوی مک گرو شرح داده‌اند که نرم‌افزارهای مخرب، ردپاهای قابل تشخیصی را در جریان TLS از خود به‌جای می‌گذارند.

این محققان هزاران نمونه را از ۱۸ خانواده‌ی بدافزاری و «ده‌ها هزار» جریان مخرب را از میلیون‌ها جریان رمزنگاری‌شده‌ی یک شبکه سازمانی مورد بررسی و پوشش قرار دادند (آن‌ها یادآوری کردند که این کار تنها مربوط به شبکه‌ای سازمانی است و برای مثال به شبکه‌‌های ارائه‌دهنده خدمات مربوط نمی‌شود).

استفاده اصلی بازرسی بسته‌ها در جمع‌آوری داده‌ها برای پیام‌های ClientHello و serviceHello و نسخه‌های ID و TLS بود و نه داده‌های کاربران.

آن‌ها می‌گویند که داده‌های شبکه به‌تنهایی برای مربوط کردن جریان‌های TLS به بیشتر خانواده‌های بدافزاری کافی است. حتی هنگامی‌که خانواده‌‌های مختلف از پارامترهای TLS یکسان استفاده می‌کنند می‌توانند معمولاً به‌وسیله‌ی «قابلیت‌های مبتنی بر جریان» از هم متمایز شوند.

قابلیت‌هایی که آن‌ها از آن استفاده می‌کنند شامل ابرداده‌های جریان (بایت‌های ورودی و خروجی، بسته‌های ورودی و خروجی، شماره‌های درگاه شبکه و مدت زمان جریان)؛ دنباله‌ی طول و زمان بسته‌ها؛ توزیع بایت و اطلاعات عنوان TLS هستند.

این تحقیق شامل بدافزارهایی از گونه‌ی Bergat، Deshacop ،Dridex ،Dynamer ،Kazy، Razy ،Zedbot و Zusy و برخی دیگر می‌شوند.

محققان می‌گویند که نرم‌افزار که روی دستگاه نصب می‌شود با یادگیری تجزیه‌وتحلیل جریان قادر است تا «با دقت ۹۰.۳ درصد برای یک جریان واحد و رمزنگاری شده‌ی محدود و با دقت ۹۳.۲ درصد برای عمل در هنگام یک جریان رمزنگاری شده در یک مدت زمان پنج دقیقه‌ای» عمل کند.

منبع: asis

درباره نماد امنیت وب

“نماد امنیت وب” به عنوان یکی از شرکت های پیشتاز در زمینه امنیت نرم افزار و سرویس های تحت وب، با ارائه سرویس های امنیتی برای تمامی کسب و کار ها و دارای نمایندگی شرکت Acunetix (اکوانتیکس) بعنوان محبوب ترین اسکنر امنیتی black box در دنیا، ایمنی وب سایت شما را در مقابل حمله هکر ها تضمین می کند.

اسکن امنیتی وب سایت
(5000 تومان)

نوع وب سایت: وبلاگ، شرکتی، تجارت الکترونیک و کسب و کارحرفه ای
آسیب پذیری های OWASP (شامل بررسی 10 آسیب پذیری متداول)
اسکن نرم افزار/وب سایت توسط Acunetix نسخه 11
اسکن تمامی پورت ها با ابزار Nmap
اسکن وب سرور و پیکربندی آن توسط ابزار Nikto
اسکن تزریق توسط نرم افزار قدرتمند SQLmap