Những kẻ tấn công đã giả mạo xác nhận TLS ở quy mô chưa từng thấy trước đây bằng cách sử dụng một kỹ thuật gọi là đóng thế cipher-stunting.
Khi nói đến các cuộc tấn công mạng, các đối thủ không chỉ tập trung vào phát triển phần mềm độc hại tiên tiến mà còn tăng cường độ tinh vi trong các kỹ thuật trốn tránh của họ. Gần đây, trò chơi này đang diễn ra dưới hình thức “cipher stunting” – một kỹ thuật giả mạo TLS giúp hoạt động của bot độc hại được coi là lưu lượng truy cập trực tiếp của người dùng trên web.
Ý tưởng là để tránh các công nghệ xác thực của máy khách web giúp các công cụ bảo mật và các nhà phân tích con người phân biệt giữa khách hàng hợp pháp và kẻ mạo danh / bot. Loại thứ hai thường được sử dụng trong các cuộc tấn công nhồi thông tin xác thực trên các trang đăng nhập, để thực hiện hành vi gian lận quảng cáo, quét lỗ hổng tự động, quét thông tin xác thực và hơn thế nữa.
Lưu lượng truy cập trang web thường được thực hiện thông qua HTTPS hoặc HTTP qua SSL / TLS, các giao thức lưu lượng mạng được mã hóa phổ biến nhất. Xác thực sẽ được tiến hành bởi các handshake SSL / TLS và thông tin được cung cấp trong các lần bắt tay đó của khách hàng, được trình bày dưới dạng tin nhắn của Client Hello. Điều này chứa phiên bản giao thức, một danh sách các bộ mật mã được hỗ trợ được sử dụng và dữ liệu khác. Bằng cách xây dựng ảnh chụp nhanh thời gian thực của tác nhân người dùng (máy khách) đang kết nối với trang web, các cơ chế bảo vệ có thể đánh giá tác nhân người dùng đó để phát hiện hoạt động bot đáng ngờ.
Theo nghiên cứu của Akamai những kẻ tấn công đã giả mạo chữ ký TLS ở quy mô chưa từng thấy bằng cách sử dụng phương pháp ngăn chặn mật mã.
Trên thực tế, Akamai nói rằng hoạt động tăng lên 1.355.334.179 tỷ trường hợp giả mạo vào cuối tháng 2 năm 2019. Nó đã tăng lên 20% kể từ đầu tháng 10, ngay sau khi cipher stunting xuất hiện.
Những kẻ tấn công thường lấy xác thực bằng cách tạo ngẫu nhiên chữ ký SSL / TLS, các nhà nghiên cứu lưu ý. Thay thế mã hóa là khác nhau vì nó ngẫu nhiên mã hóa thay vào đó, để thay đổi xác thực TLS.
Tuy nhiên, vào đầu tháng 9 năm 2018, chúng tôi đã bắt đầu quan sát việc giả mạo TLS thông qua các mật mã ngẫu nghiên, họ đã lưu ý trong một ghi chú hôm thứ Tư rằng Akamai đã chia sẻ. Những người có trách nhiệm đang trình bày một danh sách bộ mật mã ngẫu nhiên trong các thông điệp Hello của khách hàng, đến lượt nó, ngẫu nhiên hóa các giá trị băm ở cuối. Điều này là do tập hợp tương đối nhỏ và hữu hạn của các triển khai ngăn xếp SSL / TLS hiện có. Mỗi cái cho phép một mức độ can thiệp khác nhau của người dùng và tùy chỉnh đàm phán SSL / TLS.
Moshe Zioni, một nhà nghiên cứu của Akamai, nói rằng điều khiến cho việc mã hóa trở nên tiến bộ là thực tế rằng đó là chiến thuật chủ động cố gắng che giấu đường đi để lấy dấu vân tay và phát hiện ra nó.
Các kỹ thuật khác chủ yếu nhận thức được sự biến động / biến chứng dựa trên thời gian và sự xáo trộn ở tầng ứng dụng, anh nói. Ít hơn về việc xác thực của mạng và thứ hai, có tính đến việc không phải ai cũng có thể nhìn thấy được trọng tải thực tế của gói vì bản chất mã hóa không đối xứng SSL / TLS. Nó đưa một số người chơi ra khỏi trò chơi để phát hiện những kẻ tấn công (thực tế để lại cho họ một cú đánh dựa trên IP).
Phân tích cho thấy nhiều trường hợp giả mạo được hướng tới các hãng hàng không, ngân hàng và các trang web hẹn hò, thường là mục tiêu cho các cuộc tấn công nhồi thông tin xác thực và cào bằng nội dung.
Nhìn xa hơn về hành vi của kẻ tấn công đối với khách hàng, công ty đã xác định với mức độ chắc chắn cao rằng việc đóng thế mật mã đã được thực hiện bởi một công cụ dựa trên Java – một sự phát triển có thể báo hiệu sự gia tăng thêm trong việc sử dụng kỹ thuật, nếu công cụ trở nên phổ biến rộng rãi cho tội phạm mạng.
Các nhà nghiên cứu cho biết, dấu vân tay của TLS mà Akamai quan sát được trước khi cipher stunting được quan sát có thể được tính vào hàng chục ngàn. Ngay sau khi quan sát ban đầu, con số đó đã tăng lên hàng triệu, và sau đó gần đây đã tăng lên hàng tỷ. Họ đã nói thêm, lưu lượng truy cập quan sát thấy nhiều thay đổi của TLS với Client Hello đến từ người dọn dẹp, tìm kiếm và so sánh bot, v.v.
Phân tích cũng đáng lo ngại cho thấy phần lớn (82 phần trăm) lưu lượng độc hại (bao gồm các cuộc tấn công ứng dụng, quét web, lạm dụng thông tin, v.v.) mà Akamai làm chứng được thực hiện bằng cách sử dụng các kết nối an toàn qua SSL / TLS – và hiện đang sử dụng các kỹ thuật tiên tiến như đóng thế mật mã, phần lớn lưu lượng sẽ được bay dưới radar.
Các bài học quan trọng ở đây là bọn tội phạm sẽ làm bất cứ điều gì có thể để tránh bị phát hiện và giữ cho kế hoạch của chúng tiếp diễn, các nhà nghiên cứu của ông cho biết. Khả năng có khả năng hiển thị sâu theo thời gian vào lưu lượng truy cập Internet phát huy tác dụng khi đối phó với các chiến thuật trốn tránh đang phát triển này.