17/05/19
Как сообщают специалисты компании Akamai, операторы вредоносного ПО взяли на вооружение новую технику обхода обнаружения. Метод получил название «трюк с шифрованием» (Cipher Stunting) и позволяет выдавать трафик, генерируемый ботами, за трафик, генерируемый живыми людьми
Техника заключается в изменении отправляемых ботами сообщений ClientHello. ClientHello представляет собой первый пакет с данными о параметрах коммуникации (нужной версии TLS, используемых методах шифрования и поддерживаемых методах сжатия), передаваемый серверу в процессе рукопожатия. Эти данные не шифруются, благодаря чему механизмы безопасности могут анализировать цифровые отпечатки клиентов и определять по ним легитимный и вредоносный трафик.
При помощи «трюка с шифрованием» злоумышленники могут обманывать инструменты для снятия цифровых отпечатков клиента и выдавать вредоносный трафик за легитимный.
Как пояснили специалисты Akamai, чаще всего передача данных web-сайтов осуществляется по протоколу HTTPS (HTTP over SSL/TLS). Данные о клиенте сервер получает во время TLS-рукопожатия и с их помощью отличает легитимный трафик от вредоносного. Тем не менее, злоумышленники научились модифицировать подписи TLS и обманывать механизмы безопасности сайтов.
Как правило, киберпреступники обходят механизмы безопасности путем рандомизации подписи SSL/TLS. Однако «трюк с шифрованием» существенно отличается от подобного подхода, поскольку для изменения TLS-отпечатка рандомизируется само шифрование. По данным Akamai, к концу февраля 2019 года было зафиксировано более 1,3 млрд случаев модифицирования подписи TLS – на 20% больше, чем в октябре.
