Sophos: Malware kommuniziert zunehmend verschlüsselt

Der Sicherheitsanbieter Sophos hat festgestellt, dass Schadsoftware immer häufiger ihre Kommunikation über das Sicherheitsprotokoll Transport Layer Security (TLS) verschlüsselt. Die Verschlüsselung erlaubt es den Hintermännern, den Austausch von Informationen zwischen einer Website und einem von ihnen kontrollierten Befehlsserver vor Sicherheitsforschern zu verbergen.

Sie unterteilen die Kommunikation von Schadsoftware in drei Bereiche: das Herunterladen weiterer Malware, die Übermittlung gestohlener Daten und die Steuerung der Schadsoftware. In allen drei Bereichen könne die Kommunikation die Vorteile einer TLS-Verschlüsselung nutzen, um einer Erkennung zu entgehen.

“Es sollte daher nicht überraschen, dass auch Malware-Betreiber TLS einsetzen, um Abwehrmaßnahmen daran zu hindern, die Verbreitung von Malware und den Diebstahl von Daten zu erkennen und zu stoppen”, sagte Sophos. Vor einem Jahr hätten nur rund 24 Prozent aller Schadprogramme per TLS kommuniziert, heute liege der Anteil bei 46 Prozent.

Die Zunahme des “schädlichen” TLS-Datenverkehrs begründet Sophos aber auch damit, dass Cyberkriminelle legitime Web- und Clouddienste nutzen, die per TLS geschützt sind. Sie werden für die Speicherung von Malware-Komponenten oder als Ablage für gestohlene Daten missbraucht. Auch lassen sich Befehle über legitime Dienste an Botnetze und andere Schadprogramme schicken. Darüber hinaus sollen auch Cybererpresser auf TLS setzen, vor allem bei manuell eingeschleuster Ransomware.

“Die überwiegende Mehrheit des täglich entdeckten bösartigen TLS-Verkehrs stammt jedoch von Malware, die eine anfängliche Kompromittierung darstellt: Loader, Dropper und dokumentenbasierte Installer, die auf gesicherte Webseiten zurückgreifen, um ihre Installationspakete zu holen”, ergänzte Sophos. “Wir haben festgestellt, dass TLS zwar immer noch durchschnittlich etwas mehr als zwei Prozent des gesamten Datenverkehrs ausmacht, den Sophos über einen Zeitraum von drei Monaten als “Malware-Callhome” klassifiziert, aber 56 Prozent der eindeutigen Befehlsserver (identifiziert durch DNS-Hostnamen), die mit Malware kommunizierten, verwendeten HTTPS und TLS.”

Stefan Beiersmann

Stefan unterstützt seit 2006 als Freier Mitarbeiter die Redaktionen von Silicon.de und ZDNet.de. Wenn andere noch schlafen, sichtet er bereits die Nachrichtenlage, sodass die ersten News des Tages meistens von ihm stammen.

Recent Posts

Bahn lässt Robo-Hund auf Graffitis los

In München läuft ein vierbeiniger Roboter durch die Abstellanlagen der S-Bahn und meldet Auffälligkeiten an…

19 Stunden ago

Positiver ROI ist das beste Argument für KI-Projekte

2023 war das Jahr des Experimentierens mit KI. 2024 zieht KI in den Arbeitsalltag ein,…

20 Stunden ago

Industrie 4.0-Adaption: China fast immer in der Pole Position

Laut Umfrage nutzen 94% der chinesischen Fertigungsunternehmen KI-basierte Lösungen. In der DACH-Region liegt der Vergleichswert…

2 Tagen ago

Cybersicherheit: Deutsche Autobauer fahren hinterher

Laut Kaspersky-Umfrage hat kaum jeder zehnte den neuen UN-Standard WP.29 implementiert. Weiterer 28% haben noch…

2 Tagen ago

BSI warnt vor kritischen Schwachstellen in Microsoft Exchange Server

Rund 17.000 Exchange-Server-Installation in Deutschland gelten als stark gefährdet. Sie werden entweder nicht mehr von…

2 Tagen ago

Porsche eBike Performance setzt auf KI-gestützte Software

Die Porsche-Tochter hat mit Automatisierungsfunktionen und Bots in Freshservice den IT-Service automatisiert und skaliert.

3 Tagen ago