Malware
Analyse der von Malware genutzten SSL/TLS-Zertifikate
In den letzten sechs Jahren ist uns aufgefallen, dass Malware sowohl in herkömmlichen als auch in gezielten Angriff immer mehr auf Verschlüsselung setzt. Wir haben 1767 Zertifikate untersucht, die von verschiedenen Malware-Familien verwendet wurden.
Originalartikel von Mohamad Mokbel, Senior Security Researcher
In den letzten sechs Jahren ist uns aufgefallen, dass Malware sowohl in herkömmlichen als auch in gezielten Angriff immer mehr auf Verschlüsselung setzt. Damit soll die Attacke der Erkennung entgehen und sich in den normalen verschlüsselten Datenverkehr einfügen. Neben Malware nutzen auch Intrusion Frameworks wie Cobalt Strike, Metasploit und Core Impact diese Möglichkeit. In vielen Fällen sind dies X.509-Zertifikate, die normalerweise von SSL/TLS genutzt werden. Wir haben uns mit einigen ungewöhnlichen Merkmalen der von Malware verwendeten Zertifikate befasst und wie diese zur Erkennung bösartiger Aktivitäten genutzt werden können. Wir haben 1767 Zertifikate untersuchen, die von verschiedenen Malware-Familien verwendet wurden.
Das technische Whitepaper „The State of SSL/TLS Certificate Usage in Malware C&C Communications“ geht auf die Zertifikate ein, die von verschiedenen Malware-Familien verwendet werden und auf einige interessante Merkmale und Beobachtungen zu diesen Zertifikaten, zusammen mit Erkennungstechniken zu deren schneller Erkennung. Die Entdeckung von Malware-Command-and-Control-Verkehr (C&C) auf Zertifikatsebene ist von entscheidender Bedeutung, um Malware im frühestmöglichen Stadium zu stoppen, insbesondere wenn keine proxybasierte Entschlüsselung verfügbar ist.
Signieren von Zertifikaten
Die ersten Anzeichen für potenzielle bösartige Aktivitäten sind die Art und Weise, wie die fraglichen Zertifikate signiert sind. Von den untersuchten Zertifikaten waren 60 % selbst signiert. Dies sollte an sich schon ein deutliches Warnsignal sein. Auch der Name der Organisation im Zertifikat selbst ist häufig ein Warnsignal: Einige Malware-Familien wie AsyncRAT und BitRAT fügen in diesem Feld ihre eigenen Malware-Namen ein, während andere eine Abwandlung von „default“ oder den seltsamen Namen „Internet Widgits Pty Ltd“ verwenden, der bei der Erstellung von Zertifikaten durch OpenSSL als Standard-Organisationsname genutzt wird.
Auch die Gültigkeit der Zertifikate kann sehr unterschiedlich sein. Derzeit akzeptieren Browser in der Regel Zertifikate mit einer Gültigkeitsdauer von maximal 13 Monaten, und Zertifizierungsbehörden stellen üblicherweise Zertifikate mit einer kürzeren Gültigkeitsdauer aus. Bösartige Zertifikate halten sich normalerweise an diese Regel, einige jedoch nicht. Wir haben Zertifikate mit einer Gültigkeitsdauer von nur einem Monat bis hin zu mehreren Jahren gefunden (einige bis zu 99 Jahre).
Zertifikats-Pinning
Zertifikats-Pinning ist eine Methode, bei der ein Client (entweder ein Browser oder, in diesem Fall, Malware) die Anzahl der gültigen Zertifikate für eine bestimmte Website einschränkt, anstatt einfach jedes Zertifikat zu akzeptieren, das validiert wird. Diese Methode wird von bestimmten Websites und Browsern verwendet, um ihren Datenverkehr zu sichern, aber es sollte nicht überraschen, dass auch Malware diese Methode übernommen hat.
Zwar ist die Methode nicht besonders verbreitet, doch einige Familien nutzen sie extensiv, so etwa IcedID, AsyncRAT, DcRAT, Vawtrak und PhantomNet. Zudem verwenden all diese Malware-Familien selbst signierte Zertifikate, sodass sie über die Methode erkannt werden können. Es ist jedoch durchaus denkbar, dass diese Technik zur Verwendung von Zertifikaten von vertrauenswürdigen Zertifizierungsstellen eingesetzt wird.
Zertifikate von vertrauenswürdigen CAs
Eine nicht unbedeutende Zahl der bösartigen Zertifikate wird von bekannten Zertifizierungsbehörden ausgegeben. Das zeigt die Tabelle:
Certificate Authority | Certificates Issued |
Let's Encrypt Authority X3 | 458 |
COMODO RSA Domain Validation Secure Server CA | 41 |
RapidSSL CA | 19 |
EssentialSSL CA | 18 |
cPanel, Inc. Certification Authority | 13 |
Others | 26 |
Tabelle. Zertifikate von Trusted Certificate Authorities (CA), die von verschiedenen Malware-Familien benutzt werden
Wir stellten auch fest, dass kein Zertifikat für eine bösartige Domäne nach der von Let’s Encrypt angebotenen dreimonatigen Gültigkeitsdauer verlängert wurde. Bei einigen wenigen Domänen fanden wir jedoch verschiedene Zertifikate für dieselbe Domäne.
Die Richtlinien bezüglich bösartiger Domänen und der Ausstellung von Zertifikaten variieren von CA zu CA. Vor allem Let’s Encrypt ist der Meinung, dass Zertifizierungsstellen den Inhalt von Domänen nicht überwachen sollten. Wenn TLS standardmäßig für alle Domänen aktiviert ist, wäre die Verschlüsselung ein wesentliches Merkmal des gesamten Netzwerkverkehrs. Unabhängig davon, wie man zu dieser Position steht, erschwert sie die Netzwerkverteidigungsverfahren.
Fazit
Normalerweise erschwert verschlüsselter SSL/TLS-Datenverkehr die Erkennung von C&C-Kommunikationsverkehr. Durch die Untersuchung der verwendeten Zertifikate lässt sich dieser Datenverkehr dennoch erkennen, und es können IDS/IPS-Signaturen/Filter erstellt werden, die versuchen, verschiedene Malware-Familien auf der Ebene des Zertifikats-Handshake zu erkennen. Darüber hinaus liefert dieser Ansatz neue Informationen, die Bedrohungsermittler nutzen können, um potenziell bösartigen Datenverkehr zu finden.