Dado que muchos sitios web ahora usan TLS / https para cifrar todo el tráfico de la red: si una máquina cliente está comprometida y necesita establecer un canal de retorno a un servidor C y C para obtener instrucciones adicionales y la exfiltración de datos, ¿puede ¿Se puede ocultar con éxito en el tráfico HTTPS?
Los sistemas de detección de intrusos basados en red tienen, a menos que utilicen un proxy HTTPS, poco conocimiento de qué otros recursos se cargarán después de una carga de página inicial. Si el malware envía un latido al utilizar datos de encabezado sospechosos en una solicitud HTTPS (y vuelve a realizar tareas en forma de una imagen tal vez tratada con esteganografía, el IDS basado en la red regular puede detectar eso si las solicitudes de DNS no activan nada y las IP son no en una lista negra?
Además, como el puerto 443 generalmente se permite en los cortafuegos (y las conexiones establecidas generalmente se permiten de vuelta), este parece ser un buen lugar para esconderse a simple vista.
¿Cómo se puede determinar que este contenido sea malicioso cuando se cifra correctamente? ¿Podría esto permitir que el malware oculte su comunicación a la vista de la mayoría de los análisis?
¿Cuáles son las formas posibles de detectar y detectar el malware que oculta sus comunicaciones de esta manera, es decir, enviando una sola solicitud cuando sea necesario y hay mucho tráfico https a diferentes servidores en curso de todos modos, por ejemplo, con una carga inicial de Facebook? ?