Sophos: Malware kommuniziert zunehmend verschlüsselt

Der Sicherheitsanbieter Sophos hat festgestellt, dass Schadsoftware immer häufiger ihre Kommunikation über das Sicherheitsprotokoll Transport Layer Security (TLS) verschlüsselt. Die Verschlüsselung erlaubt es den Hintermännern, den Austausch von Informationen zwischen einer Website und einem von ihnen kontrollierten Befehlsserver vor Sicherheitsforschern zu verbergen.

Sie unterteilen die Kommunikation von Schadsoftware in drei Bereiche: das Herunterladen weiterer Malware, die Übermittlung gestohlener Daten und die Steuerung der Schadsoftware. In allen drei Bereichen könne die Kommunikation die Vorteile einer TLS-Verschlüsselung nutzen, um einer Erkennung zu entgehen.

“Es sollte daher nicht überraschen, dass auch Malware-Betreiber TLS einsetzen, um Abwehrmaßnahmen daran zu hindern, die Verbreitung von Malware und den Diebstahl von Daten zu erkennen und zu stoppen”, sagte Sophos. Vor einem Jahr hätten nur rund 24 Prozent aller Schadprogramme per TLS kommuniziert, heute liege der Anteil bei 46 Prozent.

Die Zunahme des “schädlichen” TLS-Datenverkehrs begründet Sophos aber auch damit, dass Cyberkriminelle legitime Web- und Clouddienste nutzen, die per TLS geschützt sind. Sie werden für die Speicherung von Malware-Komponenten oder als Ablage für gestohlene Daten missbraucht. Auch lassen sich Befehle über legitime Dienste an Botnetze und andere Schadprogramme schicken. Darüber hinaus sollen auch Cybererpresser auf TLS setzen, vor allem bei manuell eingeschleuster Ransomware.

“Die überwiegende Mehrheit des täglich entdeckten bösartigen TLS-Verkehrs stammt jedoch von Malware, die eine anfängliche Kompromittierung darstellt: Loader, Dropper und dokumentenbasierte Installer, die auf gesicherte Webseiten zurückgreifen, um ihre Installationspakete zu holen”, ergänzte Sophos. “Wir haben festgestellt, dass TLS zwar immer noch durchschnittlich etwas mehr als zwei Prozent des gesamten Datenverkehrs ausmacht, den Sophos über einen Zeitraum von drei Monaten als “Malware-Callhome” klassifiziert, aber 56 Prozent der eindeutigen Befehlsserver (identifiziert durch DNS-Hostnamen), die mit Malware kommunizierten, verwendeten HTTPS und TLS.”

Stefan Beiersmann

Stefan unterstützt seit 2006 als Freier Mitarbeiter die Redaktionen von Silicon.de und ZDNet.de. Wenn andere noch schlafen, sichtet er bereits die Nachrichtenlage, sodass die ersten News des Tages meistens von ihm stammen.

Recent Posts

KI auf dem Prüfstand

LLMs besitzen einerseits innovative neue Fähigkeiten, stellen Unternehmen allerdings auch vor diverse Herausforderungen: ob EU…

9 Stunden ago

Rechenzentren: Deutschland verliert Anschluss

Server-Ausbau in den USA und China macht große Fortschritte, deutscher Weltmarktanteil sinkt. Lichtblicke in Frankfurt…

14 Stunden ago

KI steigert Nachfrage nach hybriden Workplace-Umgebungen

Der Markt für Workplace Services gerät in Bewegung. Das bestmögliche digitale Nutzererlebnis gilt als Schlüssel…

15 Stunden ago

Hagebau erreicht E-Mail-Sicherheit mit der NoSpamProxy Cloud

Schutz für 10.000 Postfächer über rund 200 Domains: Private-Stack-Variante kombiniert Vorteile einer Cloud-Lösung mit Sicherheit…

1 Tag ago

Rechenzentrumsnetzwerke als Schlüssel für Desaster Recovery

Huawei Connect Paris: Innovationen rund um Data Center, Storage und IT-Sicherheit.

1 Tag ago

Cybersecurity mit KI: Strategischer Vorteil oder Sicherheitsrisiko?

Mit KI optimieren Hacker ihre Angriffsversuche. Ist CIAM eine Lösung, mit der sich Unternehmen vor…

2 Tagen ago