行业新闻与博客

鬼 nea 的在线安全威胁：SSL 中的加密恶意软件

不幸的是，坏人也使用加密

每次您通过手机，平板电脑或计算机连接到 Internet 时，都将承受一定程度的风险。黑客继续寻找新方法来利用安全漏洞并破坏您的设备或数据。您需要时刻保持警惕，以避免危险的恶意软件和其他攻击，这些攻击有时来自您最不希望的地方。

当您在浏览器顶部看到一个挂锁图标时，表示您正在通过使用有效 SSL / TLS 证书加密的连接与正在查看的站点进行通信。但是许多人错误地认为，只要存在 SSL 证书，他们就可以免受各种形式的攻击，包括故事终结。在本文中，我们将探讨如何将新型恶意软件实际上隐藏在此受信任符号的后面。

对于需要传输敏感信息的任何站点或应用程序，SSL 加密至关重要。这包括密码，信用卡号和其他财务数据。SSL 证书是针对试图窃听您的互联网活动，保护您的数据免遭犯罪分子入侵的优秀防御策略。不过，这就是问题：坏蛋也可以使用加密。黑客和网络犯罪分子正在使用 SSL / HTTPS 隐藏恶意代码。

防火墙和入侵检测系统存在漏洞

公司和组织在 IT 安全解决方案上花费了大量金钱和资源。一种流行的方法是将入侵检测系统和防火墙结合起来，以监视​​和分析到本地网络的所有传入流量。这个想法是让系统在任何用户变得脆弱之前自动检测并阻止网络攻击和黑客威胁。

例如，假设客户服务中的鲍勃（Bob）单击网络钓鱼电子邮件中的链接，该链接指向带有恶意软件的 URL。该组织的安全系统可以在 Bob 的机器感染恶意软件之前检测并阻止此访问。

但是，如何构建入侵检测系统才能运行会存在一个固有的漏洞。它们涉及扫描网络流量，以识别与恶意软件或其他恶意攻击相对应的模式。如果系统无法解码每个传入网络请求的全部内容，则它们对流量的特定部分视而不见。

例如，当您从外部网站下载文档时，防火墙或入侵检测系统可以检查通过本地网络发送的数据包。但是，如果该通信是通过 SSL 连接进行的，则系统将无法通过加密来检测文档中真正的内容。 一些较新的入侵检测解决方案引入了深度数据包检查的概念，该工具会查看每个网络请求的较低级别，以进一步了解其内容。

但是，没有多少组织可以使用此选项，这意味着通过 HTTPS 传递的数据可能会构成威胁。

另一种检测 SSL 恶意软件存在的技术是 SSL 检查。这是拦截客户端和服务器之间通过 SSL / TLS 加密的 Internet 通信的过程。可以在发送方和接收方之间执行拦截，反之亦然（从接收方到发送方）。奇怪的是，这与中间人（MitM）攻击中使用的技术相同，但是如果部署得当，可以用于过滤 SSL 中的恶意软件。（检查和中间人攻击之间的主要区别在于，使用 SSL 检查时，网络管理员会将计算机修改为仅允许通过授权的设备 / 证书进行检查。）

SSL 恶意软件的原理

要了解黑客如何使用 SSL 加密恶意软件，我们需要查看传输层安全性（或 TLS），它是指 SSL 背后进行的加密过程。Google 的最新数据告诉我们，现在 93％的互联网已经加密。如所讨论的，它被设计为锁定所有外部方，包括不支持深度数据包检查的防火墙。

对于 SSL 恶意软件，黑客无法直接将其注入现有的 HTTPS 内容流中。例如，如果您在亚马逊上购物并提交信用卡号来支付书费，则该信息将通过 SSL 传输。如果黑客试图修改该流量并注入恶意软件，您的浏览器将注意到密钥已更改，并会自动拒绝该请求。

但是，可以通过多种方法来解决这一“问题”。最常见的方法之一是，网络犯罪分子可以为其包含恶意软件的网站获取免费的 SSL 证书。尽管合法的 SSL 证书并不昂贵（特别是考虑到它们在防止数据被盗方面的重要性），但黑客可能会发现更容易获得免费证书，而无需使用任何可用于跟踪它们的财务信息。

这种用于 SSL 恶意软件传递的技术的另一种变化是，犯罪分子可以在网络钓鱼站点上使用 SSL 证书，该站点将恶意代码传递给受害者的系统，同时看起来像合法网站。黑客将发出一系列欺诈性电子邮件，这些电子邮件看起来好像来自信誉良好的来源。

如果用户单击它们，它们将被定向到看起来安全的网站，因为它们具有免费的 SSL 证书。届时，黑客可以将其恶意软件嵌入加密的流量中，并尝试绕过任何防火墙系统。 这些类型的攻击正变得越来越普遍。

2017年《安全周刊》报道，当年上半年，Zscaler 的产品每天拦截大约 60 万种隐藏在加密流量中的威胁。

下半年这个数字增长到 80 万，增长了 30％。 其他安全分析师也提出了担忧。正如 SonicWall 首席执行官比尔·康纳（Bill Conner）在今年早些时候对 TechRepublic 所说的那样，SSL 现在与 4.2％的恶意软件有关。他说，这比上一年增加了 400％。他继续说：“这是因为容易找到错误的 SSL 证书，还因为”只有 5％的客户启用了 DPI，即 SSL 的深度数据包检查。” 要记住的重要一点是 SSL 不能保证安全。它只是确保您的请求被加密。

但是实际传输的数据仍然可能包含危险元素，包括病毒和其他形式的恶意软件。

因此，在访问新网站时，您应该始终保持可疑。（请注意：如果相关网站使用的是组织验证 [OV] 或扩展验证 [EV] SSL 证书，这些证书很难让黑客获得，则可以检查其证书详细信息以获取有关正在运行的组织的其他详细信息）网站。）

保护自己的 7 个秘诀 保持在线安全需要勤奋的工作。最好的选择是采取积极措施来控制和保护您的在线隐私。

以下是一些防止 SSL 恶意软件和其他威胁的提示：

您应该始终在浏览器中寻找挂锁符号，以确认您所使用的站点已启用 SSL 加密。但是请不要认为这是足够的，因为事实上，许多邪恶的网站都在欺骗自己的 SSL 证书，使它们看起来合法。

每当您输入个人信息或进行财务交易时，都需要花一点时间来考虑正在使用的平台，以及浏览器中的 URL 和 SSL 证书上的任何组织详细信息是否与正确的组织相对应。

高级 DNS 欺骗甚至可以提供看似正确的 URL，以捕获用户凭据。

强大的密码管理器通常通过交叉引用 URL 来防止这种情况，但是用户在输入登录信息时需要保持警惕。

考虑将虚拟专用网络（VPN）添加到您的在线安全方案中。越来越多的互联网用户部署了这种价格适中的服务。

通过订阅可以轻松获得它，并且使用与 SSL 不同的加密形式来保护和匿名化您的在线会话。

确保您的组织已正确配置了防火墙和入侵检测系统。

黑客的网络攻击无济于事，这意味着即使您采取所有正确的预防措施，也仍然有可能受到恶意软件的攻击。

尽管我们较早地介绍了入侵检测系统的局限性，但您不使用它们会很愚蠢。即使某些黑客的数据包进入了系统，您的入侵检测策略也至少有相当大的机会在造成过多损害之前将其检测并隔离。

确保您的组织正在使用深度数据包检查和 / 或 SSL 检查来发现加密 Web 通信中的威胁。

从信誉良好的来源购买可靠的防病毒工具，并及时更新！尽管不是万无一失，但就目前的技术而言，没有比防火墙，反恶意软件和反病毒软件更安全的方法来保护自己。

底线 不要把这归咎于 SSL。没有它，互联网将是一个更加危险的地方。在目前的黑客攻击水平下，任何地方上网都是很危险的。您将无法相信自己的密码和信用卡号已安全发送到任何地方。这里更大的一点是，即使存在 SSL 连接，也要意识到由于 SSL 流量内隐藏的恶意软件或其他威胁，您仍然可以成为目标。

非常感谢您对RedDNS的支持与信任！

禁止转载