Специалисты Cisco обнародовали исследование, в котором доказывают — прослушка зашифрованного трафика тоже имеет смысл. Эксперты пришли в выводу, что для обнаружения различной малвари в протоколе TLS (Transport Layer Security) трафик вообще не нужно расшифровывать, он и так содержит достаточное количество характерных признаков.
Можно сказать, что данное исследование — это хорошая новость. Столкнувшись с какой-либо угрозой, компании и производители нередко вынуждены отключать шифрование вообще, чтобы разобраться с тем, что происходит и провести детальную инспекцию трафика. Минусы такого подхода очевидны, от этого страдают сотрудники или пользователи, чьи данные в итоге передаются в открытом виде и могут быть раскрыты третьим лицам.
Исследователи пишут, что изучили поведение тысяч образцов малвари, относящихся к 18 различным семействам вредоносов, в том числе Bergat, Deshacop, Dridex, Dynamer, Kazy, Parite, Razy, Zedbot и Zusy. Эксперимент проводился в различных корпоративных сетях, то есть не затрагивал, к примеру, интернет-провайдеров. Были изучены «десятки тысяч» вредоносных соединений и миллионы зашифрованных потоков данных. Все это позволило сделать вывод, что вредоносный трафик, даже в зашифрованном виде, сильно отличается от трафика обыкновенного.
«Хотя TLS не дает увидеть данные в виде незашифрованного текста, он также предлагает целый комплекс различных параметров, на основании которых можно сделать множество выводов как о клиенте, так и о сервере», — рассказывают исследователи.
В основном эксперты изучали сообщения clientHello и serverHello, а также ID версий TLS. Пользовательские данные не трогали. Среди параметров, которые могут указать на присутствие вредоноса, были перечислены специфические алгоритмы шифрования, разные размеры ключей шифрования, использование клиента Tor, различный размер пакетов и так далее. Некоторые вредоносы также соединяются с конкретным набором серверов, к примеру, Yakes и Razy всегда обращаются к серверам китайского baidu.com.
В итоге эксперты сумели «натренировать» четыре машины на распознавание в зашифрованном трафике того или иного семейства малвари. При этом специалисты отмечают, что «семейства малвари постоянно эволюционируют и используют криптографию, из-за чего классификация усложняется». В частности, авторы вредоносов могут маскировать деятельность своего «продукта» под обычный трафик. Исследователи пишут, что подобные техники, тем не менее, требуют постоянных и значительных усилий со стороны вирусописателей, и такое могут себе позволить отнюдь не все.
Согласно отчету, исследователям удалость добиться точности 90,3% в вопросе выявления конкретной малвари в отдельно взятом зашифрованном потоке трафика. Есть машина наблюдает за всем трафиком в целом, без ограничений, то за пять минут она способна сделать вывод с точностью до 93,3%.
С полной версией отчета можно ознакомиться здесь.
