Зловмисники видають ботів за людей за допомогою нового трюку

17:07
Зловмисники видають ботів за людей за допомогою нового трюку

     Як повідомляють фахівці компанії Akamai, оператори шкідливого ПЗ взяли на озброєння нову техніку обходу виявлення. Метод отримав назву «трюк з шифруванням» (Cipher Stunting) і дозволяє видавати трафік, що генерується ботами, за трафік, що генерується живими людьми.

    Техніка полягає в зміні повідомлень що відправляються ботами ClientHello. ClientHello є перший пакет з даними про параметри комунікації (потрібної версії TLS, використовуваних методах шифрування і підтримуваних методах стиснення), який передається з сервера в процесі рукостискання. Ці дані не шифруються, завдяки чому механізми безпеки можуть аналізувати цифрові відбитки клієнтів і визначати легітимний і шкідливий трафік.

     За допомогою «трюку з шифруванням» зловмисники можуть обманювати інструменти для зняття цифрових відбитків клієнта і видавати шкідливий трафік за легітимний.

    Як пояснили фахівці Akamai, найчастіше передача даних web-сайтів здійснюється по протоколу HTTPS (HTTP over SSL / TLS). Дані про клієнта сервер отримує під час TLS-рукостискання і з їх допомогою відрізняє легітимний трафік від шкідливого. Проте, зловмисники навчилися модифікувати підписи TLS і обманювати механізми безпеки сайтів.

    Як правило, кіберзлочинці обходять механізми безпеки шляхом рандомізації підпису SSL / TLS. Однак «трюк з шифруванням» істотно відрізняється від подібного підходу, оскільки для зміни TLS-відбитка рандомізують саме шифрування. За даними Akamai, до кінця лютого 2019 року було зафіксовано понад 1,3 млрд випадків модифікування підписи TLS — на 20% більше, ніж в жовтні.

Комментарии 0

Предпросмотр
Завантаження...
Будьте первым, кто оставит комментарий.