Sophos: Malware kommuniziert zunehmend verschlüsselt

Der Sicherheitsanbieter Sophos hat festgestellt, dass Schadsoftware immer häufiger ihre Kommunikation über das Sicherheitsprotokoll Transport Layer Security (TLS) verschlüsselt. Die Verschlüsselung erlaubt es den Hintermännern, den Austausch von Informationen zwischen einer Website und einem von ihnen kontrollierten Befehlsserver vor Sicherheitsforschern zu verbergen.

Sie unterteilen die Kommunikation von Schadsoftware in drei Bereiche: das Herunterladen weiterer Malware, die Übermittlung gestohlener Daten und die Steuerung der Schadsoftware. In allen drei Bereichen könne die Kommunikation die Vorteile einer TLS-Verschlüsselung nutzen, um einer Erkennung zu entgehen.

“Es sollte daher nicht überraschen, dass auch Malware-Betreiber TLS einsetzen, um Abwehrmaßnahmen daran zu hindern, die Verbreitung von Malware und den Diebstahl von Daten zu erkennen und zu stoppen”, sagte Sophos. Vor einem Jahr hätten nur rund 24 Prozent aller Schadprogramme per TLS kommuniziert, heute liege der Anteil bei 46 Prozent.

Die Zunahme des “schädlichen” TLS-Datenverkehrs begründet Sophos aber auch damit, dass Cyberkriminelle legitime Web- und Clouddienste nutzen, die per TLS geschützt sind. Sie werden für die Speicherung von Malware-Komponenten oder als Ablage für gestohlene Daten missbraucht. Auch lassen sich Befehle über legitime Dienste an Botnetze und andere Schadprogramme schicken. Darüber hinaus sollen auch Cybererpresser auf TLS setzen, vor allem bei manuell eingeschleuster Ransomware.

“Die überwiegende Mehrheit des täglich entdeckten bösartigen TLS-Verkehrs stammt jedoch von Malware, die eine anfängliche Kompromittierung darstellt: Loader, Dropper und dokumentenbasierte Installer, die auf gesicherte Webseiten zurückgreifen, um ihre Installationspakete zu holen”, ergänzte Sophos. “Wir haben festgestellt, dass TLS zwar immer noch durchschnittlich etwas mehr als zwei Prozent des gesamten Datenverkehrs ausmacht, den Sophos über einen Zeitraum von drei Monaten als “Malware-Callhome” klassifiziert, aber 56 Prozent der eindeutigen Befehlsserver (identifiziert durch DNS-Hostnamen), die mit Malware kommunizierten, verwendeten HTTPS und TLS.”

Stefan Beiersmann

Stefan unterstützt seit 2006 als Freier Mitarbeiter die Redaktionen von Silicon.de und ZDNet.de. Wenn andere noch schlafen, sichtet er bereits die Nachrichtenlage, sodass die ersten News des Tages meistens von ihm stammen.

Recent Posts

Im Blindflug in Richtung Nachhaltigkeit

Eine Mehrheit der deutschen Unternehmen will klimaneutral werden. Aber wie? Für eine Antwort fehlen ihnen…

12 Stunden ago

Unternehmen unterschätzen Cyberrisiken durch vernetzte Partner und Lieferanten

Firmen stufen Sicherheitsrisiken ihrer Partner in digitalen Ökosystemen und Lieferketten als wenig besorgniserregend ein.

13 Stunden ago

Silicon DE im Fokus Podcast: Microsoft und der Mittelstand

Im Silicon DE Podcast erläutert Oliver Gürtler, Leiter des Mittelstandsgeschäfts bei Microsoft Deutschland, im Gespräch…

15 Stunden ago

Microsoft Edge erhält neue Sicherheitsfunktion für “unbekannte” Websites

Der Browser wendet beim Besuch bestimmter Websites automatisch strengere Sicherheitsregeln an. Nutzer müssen den erweiterten…

20 Stunden ago

August-Patchday: Microsoft schließt aktiv ausgenutzte Zero-Day-Lücke

Sie ist eigentlich schon seit Dezember 2019 bekannt. Eine weitere Zero-Day-Lücke wird bisher nicht aktiv…

22 Stunden ago

Microsoft warnt vor möglichem Datenverlust bei Windows-Systemen mit aktuellen CPUs

Betroffen sind Windows-Rechner, die den Befehlssatz VAES unterstützen. Ein Update reduziert vorübergehend die Leistung AES-basierter…

2 Tagen ago