/image%2F2647755%2F20190518%2Fob_d3ba56_giphy-2.gif)
Les attaquants ont altéré les signatures TLS à une échelle jamais vue auparavant en utilisant une technique appelée «arrêt du chiffrement».
En ce qui concerne les cyberattaques, les adversaires se concentrent non seulement sur le développement de logiciels malveillants avancés , mais également sur le perfectionnement de leurs techniques d'évasion. Cela se joue dernièrement sous la forme de casiers de «retard de chiffrement», une technique de falsification TLS qui aide les activités de bot malveillantes à se faire passer pour un trafic humain en direct sur le Web.
L'idée est d'éviter les technologies de prise d'empreinte de client Web qui aident les outils de sécurité et les analystes humains à faire la différence entre des clients légitimes et des imitateurs / robots. Ces derniers sont souvent utilisés dans les attaques de bourrage d'informations d'identification sur les pages de connexion, pour commettre des fraudes publicitaires, l'analyse automatique des vulnérabilités, la suppression d'informations d'identification, etc.
Le trafic sur le site Web est généralement effectué via HTTPS ou HTTP sur SSL / TLS, les protocoles de trafic réseau chiffrés les plus courants. Les empreintes digitales cartographient généralement les poignées SSL / TLS et les informations fournies lors de ces poignées par le client, présentées sous la forme d'un message «ClientHello». Il contient la version du protocole, une liste des suites de chiffrement prises en charge et d’autres données. En créant un instantané en temps réel de l'agent utilisateur (client) qui se connecte à un site Web, les mécanismes de défense sont en mesure d'évaluer cet agent utilisateur afin de détecter toute activité suspecte sur un bot.
Selon les recherches d'Akamai, communiquées à Threatpost avant leur publication mercredi, les attaquants ont altéré les signatures TLS à une échelle jamais vue auparavant afin de contourner ces défenses, en utilisant l'approche du retard de codage. En fait, l'activité a augmenté à hauteur de 1 355 334 179 milliards de tentatives de falsification à la fin de février 2019. Cela représente un bond de près de 20% à partir du début octobre, juste après l'apparition d'un retard de croissance chiffré - à l'époque, a les cas de falsification ne comptent que 255 millions d'instances.
Les chercheurs ont noté que les pirates détectent généralement les empreintes digitales en randomisant les signatures SSL / TLS.
«Mais début septembre 2018, nous avons commencé à observer la falsification de TLS via la randomisation chiffrée sur plusieurs verticales», ont-ils noté dans une note mercredi qu'Akamai partageait avec Threatpost. «Les responsables présentent une liste de suites de chiffrement aléatoires dans les messages Client Hello, qui à leur tour randomisent les hachages à la fin. Cela est dû au jeu relativement petit et fini des implémentations de pile SSL / TLS disponibles à ce jour. Chacun permet un niveau différent d’intervention de l’utilisateur et de personnalisation de la négociation SSL / TLS. ”
L’analyse a montré que de nombreuses instances de falsification visent des compagnies aériennes, des sites bancaires et des sites de rencontres, qui sont souvent la cible d’attaques de bourrage de justificatifs d'identité et de grattage de contenu.
En examinant plus en détail le comportement de l’attaquant chez ses clients, le cabinet a déterminé «avec un degré de certitude élevé que le retard de chiffrement avait été effectué par un outil basé sur Java» - une évolution qui pourrait signaler une augmentation supplémentaire de l’utilisation de la technique, si la Cet outil devient largement accessible aux cybercriminels.
«Les empreintes digitales TLS observées par Akamai avant l’observation d’un retard de croissance chiffré se comptent par dizaines de milliers», ont déclaré les chercheurs. «Peu de temps après l'observation initiale, ce chiffre a atteint des millions, puis récemment, des milliards.» Ils ont ajouté: «Le trafic observé entraînant de nombreuses modifications de TLS avec Client Hello provenait de grattoirs, de robots de recherche et de comparaison, et plus encore.»
L’analyse a également montré de manière inquiétante que la majorité (82%) du trafic malveillant (attaques d’applications, grattage de sites Web, abus de droits, etc.) dont Akamai est témoin est effectuée à l’aide de connexions sécurisées via SSL / TLS - et maintenant avec techniques avancées comme le retard de chiffrement, une plus grande partie de ce trafic passera inaperçu.
«La principale leçon à retenir est que les criminels feront tout ce qu'ils peuvent pour ne pas être détectés et pour que leurs stratagèmes se perpétuent», ont déclaré des chercheurs. "La possibilité d'avoir une visibilité profonde dans le temps sur le trafic Internet entre en jeu lorsque l'on fait face à ces tactiques d'évasion en constante évolution."
Source :threatpost
-------------------------------------------------------------------------------------------------------------------------------
De plus, si vous êtes intéressé par la lecture de tels articles, veillez à suivre ce blog en cliquant sur le bouton "S'abonner".
Commentez ci-dessous ou partagez-le avec nous sur Groupe Facebook , Page Facebook Twitter Canal Discord
Utilisateur PC et macOS , : News Républic est disponible dans votre store pour suivre notre actualité "Global Informatique"
/image%2F2647755%2F20191213%2Fob_7aeb23_virtualbox-6-1-officially-released-wit.jpg)
/image%2F2647755%2F20191213%2Fob_ea3320_chip.png)
/image%2F2647755%2F20191213%2Fob_7c8939_64063315c2c194e4.jpeg)
/image%2F2647755%2F20191202%2Fob_a3a8f1_opensuse-leap-15-0.jpg)
/image%2F2647755%2F20191213%2Fob_7aeb23_virtualbox-6-1-officially-released-wit.jpg)
/image%2F2647755%2F20191213%2Fob_ea3320_chip.png)
/image%2F2647755%2F20191213%2Fob_7c8939_64063315c2c194e4.jpeg)
/image%2F2647755%2F20191202%2Fob_a3a8f1_opensuse-leap-15-0.jpg)
Commenter cet article