網路安全公司Sophos的研究人員發現,46%的惡意程式亦追隨多數合法網站的做法,採用傳輸層安全性協定(TLS)。
Sophos研究人員將研究成果撰述於一篇部落格文章中,表示惡意程式營運者採用TLS協定的理由與一般企業無異,皆是為阻擋偵測、防範惡意軟體攻擊及資料遭竊。
為何愈來愈多的惡意行為者採用TLS協定?該研究認為原因有二。其一,TLS協定在合法網站及雲端服務日益普及,包括Discord、Pastebin、Github及Google雲端服務皆採用TLS協定,然而,這些合法網站及服務也是惡意軟體的開放資料庫,不但被用來分享遭竊的資料,被當成殭屍網路攻擊工具的案例亦時有所聞。其二,透過使用Tor及TLS協定加密的網頁,惡意行為者可封裝惡意軟體並順利部署惡意程式碼而不被察覺。
對於上述現象,網路平臺WitFoo的創始人兼首席技術長Charles Herring,以及網站安全企業WhiteHat Security的檢測研究高級總監Zach Jones分別提出評論。
Herring認為,企業及個人使用加密技術保護資料的情形已司空見慣,網路罪犯也跟進此一趨勢,利用加密技術隱藏部署惡意軟體的行徑。有鑑於此,網路安全分析及調查人員須調整追蹤網路罪犯的既有方式,過去依賴深度網路封包分析追蹤攻擊者的SecOps專業人士須開發其他技能與策略,以追蹤利用加密技術的惡意行為者。
Jones則是提出,現在為任何應用程式(包括惡意軟體)設定TLS協定已變得非常容易,這也給了有心人士透過設定TLS協定避免其非法行徑東窗事發的可趁之機。
相關連結:
