Злоумышленники выдают ботов за людей с помощью нового трюка

Злоумышленники выдают ботов за людей с помощью нового трюка 1

Киберпреступники научились выдавать вредоносный трафик за легитимный путем изменения сообщений ClientHello.

Как сообщают специалисты компании Akamai, операторы вредоносного ПО взяли на вооружение новую технику обхода обнаружения. Метод получил название «трюк с шифрованием» (Cipher Stunting) и позволяет выдавать трафик, генерируемый ботами, за трафик, генерируемый живыми людьми

Техника заключается в изменении отправляемых ботами сообщений ClientHello. ClientHello представляет собой первый пакет с данными о параметрах коммуникации (нужной версии TLS, используемых методах шифрования и поддерживаемых методах сжатия), передаваемый серверу в процессе рукопожатия. Эти данные не шифруются, благодаря чему механизмы безопасности могут анализировать цифровые отпечатки клиентов и определять по ним легитимный и вредоносный трафик.

При помощи «трюка с шифрованием» злоумышленники могут обманывать инструменты для снятия цифровых отпечатков клиента и выдавать вредоносный трафик за легитимный.

Как пояснили специалисты Akamai, чаще всего передача данных web-сайтов осуществляется по протоколу HTTPS (HTTP over SSL/TLS). Данные о клиенте сервер получает во время TLS-рукопожатия и с их помощью отличает легитимный трафик от вредоносного. Тем не менее, злоумышленники научились модифицировать подписи TLS и обманывать механизмы безопасности сайтов.

Как правило, киберпреступники обходят механизмы безопасности путем рандомизации подписи SSL/TLS. Однако «трюк с шифрованием» существенно отличается от подобного подхода, поскольку для изменения TLS-отпечатка рандомизируется само шифрование. По данным Akamai, к концу февраля 2019 года было зафиксировано более 1,3 млрд случаев модифицирования подписи TLS – на 20% больше, чем в октябре.

Источник: https://www.securitylab.ru/news/499128.php

Добавить комментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *