Anstieg von Schadcode im SSL-verschlüsselten Datenverkehr400 Prozent mehr SSL-basierte Angriffe
29. März 2019
Laut dem Google Transparency Report wurden in Deutschland im Dezember 2018 mit Google Chrome mehr als 89 Prozent der aufgerufenen Webseiten mit der HTTPS-Verschlüsselung geladen. Im selben Zeitraum berichtete Mozilla, dass 76,5 Prozent aller auf Firefox geladenen Seiten verschlüsselt waren. Das bedeutet einen Anstieg der Webseiten, die auf Verschlüsselung setzen, von 10 Prozent gegenüber dem Vorjahr.
Die Zunahme des verschlüsselten Datenverkehrs in den letzten Jahren nutzen Angreifer, um über SSL/TLS-Verbindungen Malware einzuschleusen, Daten abzugreifen, oder die C&C-Kommunikation (Command and Control) von Botnets zu verschleiern. Tatsächlich ist laut der aktuellen Studie Cloud Security Insights Report im Vergleich zum Vorjahr ein Anstieg der Phishing-Angriffe über verschlüsselte Kanäle um mehr als 400 Prozent zu verzeichnen. Im abgelaufenen Jahr wurden 1,7 Milliarden Bedrohungen, die sich im SSL-Verkehr versteckten, geblockt. Auf 12 Monate heruntergerechnet sind das durchschnittlich 283 Millionen Bedrohungen per Monat.
Die Untersuchungen zeigen, dass Cyber-Kriminelle ihre Angriffe erwartungsgemäß auf weitverbreitete Anwendungen bekannter Unternehmen konzentrieren, wobei Microsoft Office 365 und OneDrive die am häufigsten für Phishing-Angriffe eingesetzten Systeme sind. Zu weiteren häufig imitierten Webseiten gehören Facebook, Amazon, Apple und Adobe. Neben Phishing-Angriffen versuchen vor allem Bot-Netze ihre schädlichen Aktivitäten im SSL-Verkehr zu verstecken. Zu den am häufigsten gefundenen Malware-Familien zählen Banking-Trojaner wie Trickbot (51 Prozent), Emotet/Heado/Feodo (15 Prozent), Qadars (12 Prozent) und Zbot-Varianten (10 Prozent).
Weiterer Schadcode, wie JavaScript Skimmers, war ebenfalls mit wachsender Tendenz zu verzeichnen. Bei diesem Angriffstyp nutzen die Cyber-Kriminellen infizierte E-Commerce-Seiten, wie Online-Shops, um Kontodaten der einkaufenden Nutzer zu sammeln.
SSL-Angriffe zur Manipulation von Browser-Einstellungen
Darüber hinaus zeigt der Cloud Security Insights Report, dass Angreifer versuchten Browser für ihre Zwecke zu missbrauchen und über Schwachstellen in Betriebssysteme einzudringen. Im Fokus standen dabei vor allem Browser-Einstellungen, die die Angreifer zu manipulieren versuchten. Während besonderer Festtage, wie beispielsweise vor Weihnachten, stiegen diese Angriffsversuche um 50 Prozent gegenüber den Vormonaten an.
Weitere Auffälligkeiten im Zusammenhang mit SSL-Verkehr: Fast 32 Prozent der neu registrierten Domains wurden deshalb geblockt, weil sie auf SSL-Verschlüsselung zur Ausführung von Schadcode setzten. Diese neuen Domains wurden oft von Cyberkriminellen registriert, um ihre Angriffskampagnen zu starten. Die Zertifizierungsstellen, die am meisten geblockt wurden, waren Let’s Encrypt mit 50 Prozent, Comodo mit 19 Prozent, DigiCert mit 7 Prozent, cPanel 7 Prozent, Rapid SSL mit 5 Prozent, AddTrust mit ebenfalls 5 Prozent, GoDaddy 4 Prozent und Google mit 3 Prozent. Allerdings waren die eingesetzten Zertifikate nur kurzlebig, 74 Prozent der missbrauchten Zertifikate waren nur ein Jahr oder weniger gültig, 3 Prozent zwischen 2 und 3 Jahren sowie 23 Prozent etwas über drei Jahre.
Der Datenverkehr, der sich über die verschlüsselten Kanäle bewegt, sollte nicht ungeprüft bleiben, nur weil eine SSL/TLS-Verbindung aufgebaut wird. Auch das grüne Schloss im Browser (green Padlock), das von vielen als Indikator für eine sichere Webseite und gültige Zertifikate angesehen wird, ist ein Trugschluss. Durch die Let’s Encrypt-Initiative können nun auch Cyberkriminelle echte Zertifikate, egal ob Domain Validated (DV), Organization Validated (OV) oder Extended Validated (EV), kostenlos und ohne lange Wartezeiten erwerben. Da keine Angaben über die Nutzung der Zertifikate gemacht werden müssen, ist Hackern damit freie Hand gelassen, die Zertifikate für ihre kriminellen Machenschaften zu nutzen.
Unternehmen sollten es sich aufgrund der Zunahme der schädlichen Aktivitäten nicht länger leisten, alten Gewohnheiten zu folgen und davon ausgehen, dass verschlüsselter Datenverkehr per se sicher ist. Das Entschlüsseln, Überprüfen und erneute Verschlüsseln des Datenverkehrs kann jedoch zu erheblichen Leistungseinbußen bei herkömmlichen IT-Sicherheits-Appliances führen. Da viele Unternehmen noch nicht in der Lage sind verschlüsselten Datenverkehr in großem Umfang auf Schadcode zu prüfen, ziehen Cyberkriminelle ihren Vorteil aus diesen Sicherheitslücken.
Cloud-basierte Sicherheit für Leistungsfähigkeit
Unternehmen, die nicht den gesamten verschlüsselten Datenverkehr kontrollieren, sind einem erhöhten Risiko der Infiltration und Infektion ausgesetzt. Ein Lösungsansatz zum Schutz vor hinter Verschlüsselung eingeschleustem Schadcode ist eine mehrschichtige Strategie, die eine vollständige SSL/TLS-Inspektion unterstützt. SSL-Scanning, das den gesamten Internetverkehr innerhalb oder außerhalb des Firmennetzwerks abdeckt, schließt die Sicherheitslücken.
Verstecke Bedrohungen werden rechtzeitig erkannt und geblockt, bevor sie sich auf den Endgeräten einnisten können. Ein Cloud-basierter Ansatz stellt aufgrund der Elastizität die erforderliche Performanz zur Prüfung des gesamten Datenverkehrs zur Verfügung und wächst mit steigenden Anforderungen des Unternehmens mit.
Im Zeitalter der DSGVO, wo der finanzielle Schaden bei Datenverlust schlimmer denn je ausfallen kann, kann das Festhalten an überkommenen Technologien schwerwiegende Folgen für Unternehmen haben. Schließlich ist es angesichts des Anstiegs von Malware an der Zeit, dass Unternehmen unverzüglich handeln und sich mit dieser Thematik beschäftigen.
Stan Lowe, Zscaler
Hier geht es zu Zscaler
