Sophos: Malware kommuniziert zunehmend verschlüsselt

Stefan Beiersmann,
Verschlüsselung (Bild: Shutterstock/Cousin_Avi)

Der Anteil der Kommunikation per TLS steigt in einem Jahr von 24 auf 46 Prozent. Oftmals setzen Cyberkriminelle auf legitime Dienste wie Cloud-Speicher. Die Verschlüsselung hilft, einer Erkennung durch Sicherheitsfunktionen zu entgehen.

Der Sicherheitsanbieter Sophos hat festgestellt, dass Schadsoftware immer häufiger ihre Kommunikation über das Sicherheitsprotokoll Transport Layer Security (TLS) verschlüsselt. Die Verschlüsselung erlaubt es den Hintermännern, den Austausch von Informationen zwischen einer Website und einem von ihnen kontrollierten Befehlsserver vor Sicherheitsforschern zu verbergen.

Sie unterteilen die Kommunikation von Schadsoftware in drei Bereiche: das Herunterladen weiterer Malware, die Übermittlung gestohlener Daten und die Steuerung der Schadsoftware. In allen drei Bereichen könne die Kommunikation die Vorteile einer TLS-Verschlüsselung nutzen, um einer Erkennung zu entgehen.

“Es sollte daher nicht überraschen, dass auch Malware-Betreiber TLS einsetzen, um Abwehrmaßnahmen daran zu hindern, die Verbreitung von Malware und den Diebstahl von Daten zu erkennen und zu stoppen”, sagte Sophos. Vor einem Jahr hätten nur rund 24 Prozent aller Schadprogramme per TLS kommuniziert, heute liege der Anteil bei 46 Prozent.

Die Zunahme des “schädlichen” TLS-Datenverkehrs begründet Sophos aber auch damit, dass Cyberkriminelle legitime Web- und Clouddienste nutzen, die per TLS geschützt sind. Sie werden für die Speicherung von Malware-Komponenten oder als Ablage für gestohlene Daten missbraucht. Auch lassen sich Befehle über legitime Dienste an Botnetze und andere Schadprogramme schicken. Darüber hinaus sollen auch Cybererpresser auf TLS setzen, vor allem bei manuell eingeschleuster Ransomware.

“Die überwiegende Mehrheit des täglich entdeckten bösartigen TLS-Verkehrs stammt jedoch von Malware, die eine anfängliche Kompromittierung darstellt: Loader, Dropper und dokumentenbasierte Installer, die auf gesicherte Webseiten zurückgreifen, um ihre Installationspakete zu holen”, ergänzte Sophos. “Wir haben festgestellt, dass TLS zwar immer noch durchschnittlich etwas mehr als zwei Prozent des gesamten Datenverkehrs ausmacht, den Sophos über einen Zeitraum von drei Monaten als “Malware-Callhome” klassifiziert, aber 56 Prozent der eindeutigen Befehlsserver (identifiziert durch DNS-Hostnamen), die mit Malware kommunizierten, verwendeten HTTPS und TLS.”