¿Se puede ocultar la comunicación maliciosa razonablemente bien en el tráfico de red cifrado?

1

Dado que muchos sitios web ahora usan TLS / https para cifrar todo el tráfico de la red: si una máquina cliente está comprometida y necesita establecer un canal de retorno a un servidor C y C para obtener instrucciones adicionales y la exfiltración de datos, ¿puede ¿Se puede ocultar con éxito en el tráfico HTTPS?

Los sistemas de detección de intrusos basados en red tienen, a menos que utilicen un proxy HTTPS, poco conocimiento de qué otros recursos se cargarán después de una carga de página inicial. Si el malware envía un latido al utilizar datos de encabezado sospechosos en una solicitud HTTPS (y vuelve a realizar tareas en forma de una imagen tal vez tratada con esteganografía, el IDS basado en la red regular puede detectar eso si las solicitudes de DNS no activan nada y las IP son no en una lista negra?

Además, como el puerto 443 generalmente se permite en los cortafuegos (y las conexiones establecidas generalmente se permiten de vuelta), este parece ser un buen lugar para esconderse a simple vista.

¿Cómo se puede determinar que este contenido sea malicioso cuando se cifra correctamente? ¿Podría esto permitir que el malware oculte su comunicación a la vista de la mayoría de los análisis?

¿Cuáles son las formas posibles de detectar y detectar el malware que oculta sus comunicaciones de esta manera, es decir, enviando una sola solicitud cuando sea necesario y hay mucho tráfico https a diferentes servidores en curso de todos modos, por ejemplo, con una carga inicial de Facebook? ?

    
pregunta Tobi Nary 01.11.2017 - 10:20
fuente

1 respuesta

3

Si bien HTTPS hace que sea mucho más difícil detectar malware de la carga útil del tráfico, la comunicación también puede ocultarse con HTTP simple. Esto se hace, por ejemplo, cifrando los mensajes transferidos con un secreto compartido o utilizando técnicas esteganográficas.

Aún así, la detección podría seguir siendo posible al observar los metadatos del tráfico en lugar del contenido. Tales metadatos son, por ejemplo, los patrones de tráfico: incluso con TLS, la dirección y el tamaño del tráfico aún son visibles, es decir, se pueden ver cuando se envía una solicitud y cuando se recibe una respuesta. La visita a una página HTML con un navegador regular dará lugar a ráfagas de solicitud + respuesta ya que la carga de la página HTML provocará una descarga de los recursos incrustados. Otros metadatos son características del protocolo de enlace de TLS, como qué cifrados ofrece el cliente y en qué orden, qué extensiones de TLS se utilizan, qué tipo de certificado se devuelve, etc. Otros metadatos son el objetivo y el momento de la solicitud, relación con Tráfico DNS etc.

Cisco realizó una investigación interesante sobre este tema, vea, por ejemplo, Detección de malware cifrado Tráfico (sin descifrado) . Al final de este enlace también encontrará referencias a futuras investigaciones.

    
respondido por el Steffen Ullrich 01.11.2017 - 10:38
fuente

Lea otras preguntas en las etiquetas