Hacker đang sử dụng chứng chỉ TLS làm công cụ để tấn công người dùng

Các chứng chỉ thường được kết hợp với các sản phẩm phụ trợ, như các tên miền nhiều tuổi được lập chỉ mục của Google, hỗ trợ sau bán hàng, dịch vụ thiết kế web và thậm chí tích hợp với một loạt bộ xử lý thanh toán.

Các thị trường phát triển mạnh mẽ cho các chứng chỉ TLS đã xuất hiện trên Dark Web, nơi đang bán hàng rong như là hàng hóa riêng lẻ và được đóng gói với một loạt phần mềm độc hại và các dịch vụ phụ trợ khác.

Nghiên cứu từ Venafi, Đại học Surrey và Nhóm nghiên cứu an ninh mạng dựa trên bằng chứng tại Trường nghiên cứu chính sách Andrew Young tại Đại học bang Georgia, đã được công bố tại Hội nghị RSA 2019 ở San Francisco tuần này. Nó đã xem xét năm thị trường đại diện trên mạng Tor: Dream Market, Wall Street Market, BlockBooth, Nightmare,Market và Galaxy3. Nó đã phát hiện ra rằng tất cả trong số họ về cơ bản là cung cấp bộ công cụ chìa khóa trao tay cho tội phạm mạng muốn giả mạo các trang web, nghe lén lưu lượng được mã hóa, thực hiện các cuộc tấn công trung gian và đánh cắp dữ liệu nhạy cảm

.

Chứng chỉ TLS hợp pháp cho phép đối thủ thiết lập lừa đảo và các trang web độc hại khác trông vô hại đối với các biện pháp bảo mật, có nghĩa là chúng có thể tránh bị gắn cờ bởi phần mềm trình duyệt an toàn.

Các nhà nghiên cứu đã tìm thấy chứng chỉ xác thực mở rộng được đóng gói với các dịch vụ để hỗ trợ các trang web độc hại như tên miền cũ được Google lập chỉ mục, hỗ trợ sau bán hàng, dịch vụ thiết kế web và thậm chí tích hợp với một loạt bộ xử lý thanh toán – bao gồm Stripe, PayPal và Square.

Chẳng hạn, một nhà cung cấp trên Phố Wall bán các chứng chỉ và cung cấp thiết kế của các cửa hàng thương mại điện tử có độ tin cậy, nhằm mục đích hỗ trợ hoạt động của hoạt động lừa đảo trực tuyến.

Chứng chỉ SSL được đề cập thứ hai trong danh sách các dịch vụ được cung cấp bởi nhà cung cấp này, cùng với ‘tên miền lâu đời’ (nghĩa là các trang web đã được đăng ký và hoạt động trong một thời gian dài, khiến trang web dường như hợp pháp hơn. Chứng chỉ SSL/ TLS và tên miền lâu đời được sử dụng để truyền niềm tin cho khách truy cập trang web và công cụ tìm kiếm, theo báo cáo.

Phân tích đã phát hiện ra rằng ít nhất một nhà cung cấp trên thị trường ngầm có tên BlockBooth hứa sẽ cấp giấy chứng nhận từ Cơ quan Chứng nhận có uy tín cùng với tài liệu giả mạo của công ty – bao gồm Số DUNS, là số nhận dạng chín chữ số duy nhất tương ứng với vị trí thực tế của doanh nghiệp.

Báo cáo giải thích rằng gói sản phẩm và dịch vụ này cho phép kẻ tấn công tự tin thể hiện mình là một công ty đáng tin cậy ở Hoa Kỳ hoặc Vương quốc Anh với mức giá cực kỳ phải chăng – dưới 2.000 đô la.

Một nhà cung cấp khác đã được nhìn thấy cung cấp hỗ trợ đầy đủ trong việc thiết lập danh tính của một công ty ở Anh, ngoài tất cả các tài liệu pháp lý bắt buộc liên quan đến quy trình. Với $ 150, khách hàng chỉ cần cung cấp tên công ty và chủ sở hữu cũng như một số dạng địa chỉ vật lý. Nếu người mua không có địa chỉ thực, nhà cung cấp sẽ cung cấp thêm 100 đô la.

Một khía cạnh rất thú vị của nghiên cứu này là thấy các chứng chỉ TLS được đóng gói với các dịch vụ bao quanh – chẳng hạn như dịch vụ thiết kế web – để cung cấp cho kẻ tấn công quyền truy cập ngay lập tức vào mức độ tin cậy và tin cậy trực tuyến cao, David cho biết. , phó giáo sư và giám đốc của nhóm nghiên cứu an ninh mạng dựa trên bằng chứng. Thật đáng ngạc nhiên khi phát hiện ra việc mua chứng chỉ xác nhận mở rộng dễ dàng và rẻ tiền như thế nào, cùng với tất cả các tài liệu cần thiết để tạo ra các công ty vỏ bọc rất đáng tin cậy mà không có bất kỳ thông tin xác minh nào.

Nhìn chung, năm thị trường đã được quan sát cung cấp một nguồn cung cấp chứng chỉ SSL / TLS ổn định cùng với một loạt các dịch vụ và sản phẩm liên quan. Giá chứng chỉ dao động từ $ 260 đến $ 1.600, tùy thuộc vào loại chứng chỉ được cung cấp và phạm vi dịch vụ bổ sung, phân tích được tìm thấy.

Một tìm kiếm đại diện của năm thị trường này đã phát hiện ra 2.943 đề cập cho SSL và 75 cho TLS. Từ đó, so sánh, chỉ có 531 đề cập cho ransomware, và 161 cho một ngày không có gì. như Dream Market – dường như chuyên bán chứng chỉ TLS. Ngoài ra, các nhà nghiên cứu phát hiện ra rằng các chứng chỉ thường được đóng gói với các phần mềm tội phạm khác, bao gồm cả ransomware.

Nghiên cứu này đã tìm thấy bằng chứng rõ ràng về việc bán chứng chỉ TLS tràn lan trên Dark Net, Kevin Bocek, phó chủ tịch an ninh và đe dọa tình báo cho Venafi cho biết. Các chứng chỉ của TLS hoạt động như danh tính máy đáng tin cậy rõ ràng là một phần quan trọng của bộ công cụ tội phạm mạng – giống như bot, ransomware và phần mềm gián điệp. Có rất nhiều nghiên cứu để làm trong lĩnh vực này, nhưng mọi tổ chức nên lo ngại rằng các chứng chỉ được sử dụng để thiết lập và duy trì niềm tin và quyền riêng tư trên internet đang được vũ khí hóa và bán làm hàng hóa cho tội phạm mạng.

bình luận

Leave a Comment