Malware im SSL-Traffic: Verzicht auf Verschlüsselung ist keine Lösung
Fulda – Die Security-Analysten des Zscaler-Threat-Labs-Teams haben zwischen August 2016 und Januar 2017 täglich rund 600.000 schädliche Aktivitäten in der globalen Sicherheitscloud beobachtet. Sie lagen verborgen hinter SSL-Verschlüsselung. Diese Aktivitäten wurden einer detaillierten Analyse unterzogen. Das Ergebnis: Durchschnittlich 10.000 Treffer monatlich durch Web-Exploits. Im Rahmen des jeweiligen Infektionszyklus setzen diese Exploits auf SSL-Verschlüsselung.
„Malware-Autoren zeigen sich kreativ darin, die Sicherheitsfunktionen moderner Browser zu unterwandern, denn Schadcode wird über Werbenetzwerke in völlig legitime Websites eingebunden. Darüber hinaus werden auch kostenfreie SSL-Zertifikate dazu missbraucht, um die mit Schadcode verseuchten Domains hinter HTTPS verbergen zu können. Damit umgehen die Malware-Autoren die Sicherheitskontrollen der Browser leider ganz einfach“, verdeutlicht Christian Heutger, Geschäftsführer der PSW GROUP (www.psw-group.de).
Um den Standort ihrer Server zu tarnen, nutzen diverse Malware-Familien Anonymisierungsdienste wie Tor. Über gängige HTTP-Tor-Gateways verbinden sie sich via SSL. Insbesondere Botnets nutzen selbstsignierte Zertifikate, die Namen sowie Informationen echter Unternehmen annehmen, um als echt angenommen zu werden. Die Banking-Trojaner TrickLoader oder Dridex beispielsweise sind prominente Malware-Familien, die SSL-Verschlüsselung nutzen. Aber auch Adware-Distributionen missbrauchen SSL. Zu den bekanntesten gehören PrivDog und Superfish. Dafür installieren sie ein selbstsigniertes Root-Zertifikat auf dem Rechner des Opfers. Der Web-Datenverkehr wird abgefangen, damit die Werbung in die Websites eingeschleust werden kann. Ein besonderes Risiko ergibt sich dabei bei PrivDog: SSL/TLS-Zertifikate werden nicht verifiziert, sodass Anwender auf Websites mit ungültigem SSL-Zertifikat navigieren.
„Um der Malware im SSL-Traffic Herr zu werden, kann der Verzicht auf Verschlüsselung keinesfalls eine Lösung darstellen. Zu wichtig ist der damit einhergehende Datenschutz“, mahnt Christian Heutger. Leider wissen das auch Malware-Autoren und profitieren von der steigenden Nutzung von SSL/TLS-Zertifikaten. Unternehmen dürfen sich deshalb nicht in falscher Sicherheit wiegen. Insbesondere dann nicht, wenn sie sich Tools zum Schutz vor Phishing und Ransomware beschaffen, jedoch den verschlüsselten Datenverkehr nicht in die nötige Sicherheitsprüfung einbeziehen. „Können Unternehmen den SSL-verschlüsselten Traffic nicht untersuchen, haben sie ein Problem. Denn dahinter können sich Exploit Kits genauso verbergen wie Ad- und Malware. Um Gefahren zu identifizieren, reichen Domain- und IP-Blocking nicht aus“, so Heutger weiter.
Die Untersuchung von SSL-verschlüsseltem Datenverkehr beansprucht jedoch sehr viel Rechenleistung und bremst damit die Performance aus. Deshalb schalten viele Unternehmen die SSL-Inspektion aufgrund der ausgebremsten Datenströme aus. Aber genau damit setzen Unternehmen ihre Anwender der Gefahr schutzlos aus. „Es existieren Tools zum Traffic-Scan, die die nötige Performanz erhalten und datenschutzkonform scannen“, macht Christian Heutger aufmerksam.
Der IT-Sicherheitsexperte rät grundsätzlich jedem Website-Betreiber zur Absicherung seines Datenverkehrs zu einem SSL/TLS-Zertifikat: „SSL-Zertifikatist jedoch nicht gleich SSL-Zertifikat. Es gibt verschiedene Validierungsstufen“, so Heutger. Auf der niedrigsten Stufe prüft eine Zertifizierungsstelle lediglich die Identität des Website-Besitzers und stellt domainvalidierte SSL/TLS-Zertifikate aus. Solche Zertifikate beschaffen sich leider auch Betrüger in großem Stil. Mit ihnen lassen sie ihre betrügerischen Phishing-Websites möglichst unverdächtig erscheinen. „Die nächste Stufe erachte ich als Mindest-Validierungsstufe, sobald persönliche Daten übermittelt werden – und sei es auch nur eine E-Mail-Adresse. Neben der Prüfung des Whois-Eintrags prüfen die Zertifizierungsstellen auchden Handelsregisterauszug und nehmen telefonisch Kontakt zum Besteller auf. Die dann ausgestellten Zertifikate heißen organisationsvalidierte SSL/TLS-Zertifikate. Schließlich gibt es noch Extended Validation Zertifikate. Hier prüfen Zertifizierungsstellen noch umfangreicher und verlangen häufig zusätzliche Dokumente, die der Identifikation dienen. Pflicht ist es in jedem Fall, in einem öffentlichen Register auffindbar zu sein“, erklärt Christian Heutger.
Quelle: PSW GROUP GmbH & Co. KG