Verschlüsselung

Malware im SSL-Traffic: Gefahren der Verschlüsselung

22. März 2017
  • Verschlüsselung

© psdesign1 - Fotolia.com

Anfang Februar war es erstmals soweit: Mehr als die Hälfte des weltweiten Traffic ist per HTTPS verschlüsselt. Einerseits wissen Sie als treue Blogleser um die Wichtigkeit der Verschlüsselung. Andererseits verstecken sich Gefahren wie Malware im SSL-Traffic. Das zeigt ein aktueller Report vom Zscaler ThreatLabs-Team.

Malware im SSL-Traffic: So wurde geprüft

Zwischen August 2016 und Januar 2017 wurden, verborgen hinter der SSL-Verschlüsselung, täglich im Schnitt 600.000 schädliche Aktivitäten von den Security-Researchern in der globalen Sicherheitscloud beobachtet. Eben diese Aktivitäten wurden einer detaillierten Analyse unterzogen.

Die Forscher beobachteten im Untersuchungszeitraum durchschnittlich 10.000 Treffer monatlich durch Web-Exploits. Im Rahmen des jeweiligen Infektionszyklus setzen diese Exploits auf SSL-Verschlüsselung. Die Malware-Autoren zeigen sich kreativ darin, die Sicherheitsfunktionen moderner Browser zu unterwandern:

Schadcode wird über Werbenetzwerke in völlig legitime Websites eingebunden. Kostenfreie SSL-Zertifikate werden darüber hinaus dazu missbraucht, um die mit Schadcode verseuchten Domains hinter HTTPS verbergen zu können. Entsprechend umgehen die Malware-Autoren damit die Sicherheitskontrollen der Browser.

Phishing-Kampagnen verstecken sich ebenfalls

Zscaler konnte nicht nur Malware im SSL-Traffic finden, sondern auch Phishing-Kampagnen analysieren. Auch diese setzen nämlich auf Kryptografie, um dahinter Angriffe zu verstecken. Mit steigender SSL-Verschlüsselung stiegen auch die im Verborgenen wirkenden Phishing-Angriffe: Zscaler identifizierte im letzten Quartal 3.000 hinter der Verschlüsselung versteckte Phishing-Angriffe täglich.

Verschiedene Malware-Familien brauchen SSL

Um den Standort ihrer Server zu tarnen, nutzen diverse Malware-Familien Anonymisierungsdienste wie Tor. Über gängige HTTP-Tor-Gateways verbinden sie sich via SSL. Insbesondere Botnets nutzen oftmals selbstsignierte Zertifikate, die Namen sowie Informationen echter Unternehmen annehmen, um als echt angenommen zu werden. Das ist der Grund dafür, dass die SSL-Blacklist SSL/TLS-Zertifikate von Malware-Autoren veröffentlicht.

Mit den Banking-Trojanern TrickLoader oder Dridex sind prominente Malware-Familien genannt, die SSL-Verschlüsselung nutzen. Für die nötigen Callbacks setzten diese Malware-Familien auf Browser-Hooking-Techniken. Immer mehr Varianten sind jedoch mittlerweile in der Lage, redirects über lokale DNS oder Proxies auszuführen, die dann zu den gefälschten und von den Angreifern kontrollierten Websites führen.

Adware: Injizieren unerwünschter Werbung

Auch Adware-Distributionen, die SSL missbrauchen, sind bekannt; PrivDog und Superfish gehören zu den prominentesten Vertretern. Dafür installieren sie ein selbstsigniertes Root-Zertifikat auf dem Rechner des Opfers. Der Web-Datenverkehr wird abgefangen, damit die Werbung in die Websites eingeschleust werden kann. Ein besonderes Risiko ergibt sich dabei bei PrivDog: SSL/TLS-Zertifikate werden nicht verifiziert, sodass Anwender auf Websites mit ungültigem SSL-Zertifikat navigieren.

Andere Adware-Varianten hosten schon ihre Daten auf HTTPS-Sites. Hier wird ein Programm als PUA („Potentially Unwanted Application“) installiert, welches Werbung anzeigt oder aber unerwünschte Werbung sowie Toolbars herunterlädt. Ausspioniert wird außerdem die Webnutzung auf dem Rechner, um beispielsweise Popups nachzuladen. In Extremfällen wird der Browser gekapert und der Anwender auf eine andere Site geleitet.

Anwender fangen sich solche Adware in aller Regel durch gefälschte Flash-Plugins oder Java-Updates ein, die von Content Distribution-Sites stammen, die mit HTTPS arbeiten.

Malware im SSL-Traffic: nicht verschlüsseln ist auch keine Lösung

Um der Malware im SSL-Traffic Herr zu werden, kann der Verzicht auf Verschlüsselung keinesfalls eine Lösung darstellen. Zu wichtig ist der damit einhergehende Datenschutz! Das wissen Malware-Autoren, die von der steigenden Nutzung von SSL/TLS-Zertifikaten profitieren.

Vielfach liegt die größte Gefahr darin, sich in falscher Sicherheit zu wiegen. Das trifft insbesondere Unternehmen, die sich Tools zum Schutz vor Phishing und Ransomware beschaffen, jedoch den verschlüsselten Datenverkehr nicht in die nötige Sicherheitsprüfung einbeziehen.

Können Unternehmen den SSL-verschlüsselten Traffic nicht untersuchen, haben sie ein Problem, denn dahinter können sich Exploit Kits genauso verbergen wie Ad- und Malware. Um Gefahren zu identifizieren, reichen Domain- und IP-Blocking nicht aus! Die SSL-Inspektion wird vorrangig aufgrund der ausgebremsten Datenströme ausgeschaltet. Damit setzen Unternehmen ihre Anwender der Gefahr schutzlos aus. Es existieren jedoch Tools zum Traffic-Scan, die die nötige Performanz erhalten und datenschutzkonform scannen.

Wie eine Lösung speziell für Sie aussehen kann und was Sie beim Einsatz von SSL/TLS-Zertifikaten bedenken sollten, klären wir mit Ihnen gerne in einem persönlichen Gespräch. Haben Sie Fragen oder möchten Sie sich beraten lassen, wenden Sie sich an unseren Support – wir unterstützen Sie bedarfsgerecht.



1 Kommentar(e)

Schreibe einen Kommentar

Auf dieses Thema gibt es eine Reaktion

  1. Dominik Sennfelder | 23. März 2017

    Klar, dass Zscaler natürlich Gründe findet sein eigenes Schlangenöl anzupreisen. Dabei schafft es gerade Zscaler nicht ForwardSecrecy geschützte Verbindungen aufzubrechen. Die Folge ist, dass Zscaler Verbindungen ohne FS bevorzugt. Das Feature war schon lange geplant und versprochen aber bisher haben sie nicht geschafft es zu liefern. Das die https Verbindung zwischen Client-Browser und Proxy ebenfalls kein FS kann setzt dem ganzen dann die Krone auf. Das liegt auf jeden Fall vollständig in der Hand von ZScaler.

    23. März 2017 @ 08:01 Antworten