Злоумышленники выдают ботов за людей с помощью нового трюка

image

Киберпреступники научились выдавать вредоносный трафик за легитимный путем изменения сообщений ClientHello.

Как сообщают специалисты компании Akamai, операторы вредоносного ПО взяли на вооружение новую технику обхода обнаружения. Метод получил название «трюк с шифрованием» (Cipher Stunting) и позволяет выдавать трафик, генерируемый ботами, за трафик, генерируемый живыми людьми

Техника заключается в изменении отправляемых ботами сообщений ClientHello. ClientHello представляет собой первый пакет с данными о параметрах коммуникации (нужной версии TLS, используемых методах шифрования и поддерживаемых методах сжатия), передаваемый серверу в процессе рукопожатия. Эти данные не шифруются, благодаря чему механизмы безопасности могут анализировать цифровые отпечатки клиентов и определять по ним легитимный и вредоносный трафик.

При помощи «трюка с шифрованием» злоумышленники могут обманывать инструменты для снятия цифровых отпечатков клиента и выдавать вредоносный трафик за легитимный.

Как пояснили специалисты Akamai, чаще всего передача данных web-сайтов осуществляется по протоколу HTTPS (HTTP over SSL/TLS). Данные о клиенте сервер получает во время TLS-рукопожатия и с их помощью отличает легитимный трафик от вредоносного. Тем не менее, злоумышленники научились модифицировать подписи TLS и обманывать механизмы безопасности сайтов.

Как правило, киберпреступники обходят механизмы безопасности путем рандомизации подписи SSL/TLS. Однако «трюк с шифрованием» существенно отличается от подобного подхода, поскольку для изменения TLS-отпечатка рандомизируется само шифрование. По данным Akamai, к концу февраля 2019 года было зафиксировано более 1,3 млрд случаев модифицирования подписи TLS – на 20% больше, чем в октябре.

Анализ
×