Zscaler warnt vor Zunahme SSL-basierter Bedrohungen

SSL-basierte Malware folgt dem Trend, immer mehr Datenverkehr im Internet zu verschlüsseln. Cyberkriminelle nutzen Verschlüsselung beispielsweise, um die Erkennung ihrer Malware zu erschweren. Zum Teil setzen sie sogar auf gültige SSL-Zertifikate von Gratis-Anbietern.

Der Sicherheitsanbieter Zscaler weist auf eine deutliche Zunahme von Bedrohungen hin, die ihren Datenverkehr per SSL verschlüsseln. Ende 2016 versteckten sich einer Studie des Unternehmens zufolge bereits mehr als 54 Prozent der von Zscaler blockierten Bedrohungen in HTTPS-Traffic. Das entspricht durchschnittlich 600.000 blockierten schädlichen Aktivitäten pro Tag.

Verschlüsselung (Bild: Shutterstock)Generell sei inzwischen mehr als die Hälfte des Internet-Datenverkehrs verschlüsselt. Das schaffe neue Probleme für Unternehmen, da sie nicht mehr in der Lage seien, den Datenverkehr zu überwachen. Stattdessen blieben ihnen nur weniger zuverlässige Techniken wie das Blockieren von IP-Adressen oder Domains, um Gefahren zu identifizieren und auszusperren.

Das Aufkommen von kostenlosen SSL-Zertifikaten, beispielsweise über die Initiative Let’s Encrypt, erlaube es Malware-Autoren, die von ihnen kontrollierten Domains mit gültigen SSL-Zertifikaten zu versehen und zu verschlüsseln. „Das Manöver versetzt sie in die Lage, die SSL-Integritätsprüfungen moderner Browser zu umgehen“, heißt es in der Studie.

Auch die Zahl der SSL-basierten Phishing-Angriffe habe zugenommen. Da es immer mehr SSL-Websites gebe, gelänge es Cyberkriminellen auch immer häufiger, legitime verschlüsselte Online-Angebote zu kompromittieren, um sie für Phishing einzusetzen. Zudem unterstützten nur wenige Hardware-Sicherheitslösungen für die Erkennung von Phishing und anderen Bedrohungen die Überwachung von SSL-Datenverkehr.

Hacker verschlüsseln der Studie zufolge aber auch den Datenverkehr zwischen gekaperten Systemen und ihren Befehlsservern per SSL, um ihre Aktivitäten zu verbergen. In Einzelfällen kombinieren sie Verschlüsselung sogar mit dem Anonymisierungsnetzwerk Tor. Beispiele für Schadprogramme, die Verschlüsselung nutzen, sind Dridex, Vawtrak und Gootkit

Auch die Anbieter von Adware haben inzwischen Wege gefunden, unerwünschte oder gefährliche Werbung in verschlüsselte Werbenetzwerke einzuschleusen. Hier nennt Zscaler die Adware Superfish als Beispiel, die 2015 ein selbstsigniertes Root-Zertifikate installierte, um anschließend jeglichen Datenverkehr abzufangen und eigene Anzeigen in beliebige Websites einzuschleusen. Eine andere Adware, die ihre Dateien auf HTTPS-Seiten hoste, sei InstallCore. Sie werde meist mit angeblichen Flash-Player- und Java-Updates installiert. InstallCore wiederum installiere Programme, um die Internetnutzung zu erfassen und unerwünschte Werbe-Pop-ups einzublenden. Einige Version seien sogar in der Lage, Browsereinstellungen für Startseite und Suchmaschinen zu manipulieren.

Da die Kontrolle von SSL-Datenverkehr viel Rechenleistung benötige, sei sie nicht in allen Sicherheits-Appliances integriert oder werde aufgrund geringer Performance deaktiviert, schreiben die Zscaler-Mitarbeiter Derek Gooley, Jithin Nair und Manohar Ghule in einem Blogeintrag. Es gebe zwar auch dedizierte Lösungen für die Überwachung von SSL-Traffice, sie seien aufgrund ihres Preises jedoch für einige Unternehmen unerschwinglich.

HIGHLIGHT

Mehr Sicherheit im smarten Zuhause

Wie Sie Ihr persönliches Internet der Dinge vor versteckten Gefahren schützen - die wichtigsten Tipps

Tipp: Wie gut kennen Sie die Geschichte der Viren? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de.

Themenseiten: Malware, Security, Sicherheit, Verschlüsselung, Zscaler

Fanden Sie diesen Artikel nützlich?
Content Loading ...
Whitepaper

ZDNet für mobile Geräte
ZDNet-App für Android herunterladen Lesen Sie ZDNet-Artikel in Google Currents ZDNet-App für iOS

Artikel empfehlen:

Neueste Kommentare 

Noch keine Kommentare zu Zscaler warnt vor Zunahme SSL-basierter Bedrohungen

Kommentar hinzufügen

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *