Analyse der von Malware genutzten SSL/TLS-Zertifikate

Originalartikel von Mohamad Mokbel, Senior Security Researcher

In den letzten sechs Jahren ist uns aufgefallen, dass Malware sowohl in herkömmlichen als auch in gezielten Angriff immer mehr auf Verschlüsselung setzt. Damit soll die Attacke der Erkennung entgehen und sich in den normalen verschlüsselten Datenverkehr einfügen. Neben Malware nutzen auch Intrusion Frameworks wie Cobalt Strike, Metasploit und Core Impact diese Möglichkeit. In vielen Fällen sind dies X.509-Zertifikate, die normalerweise von SSL/TLS genutzt werden. Wir haben uns mit einigen ungewöhnlichen Merkmalen der von Malware verwendeten Zertifikate befasst und wie diese zur Erkennung bösartiger Aktivitäten genutzt werden können. Wir haben 1767 Zertifikate untersuchen, die von verschiedenen Malware-Familien verwendet wurden.

Das technische Whitepaper „The State of SSL/TLS Certificate Usage in Malware C&C Communications“  geht auf die Zertifikate ein, die von verschiedenen Malware-Familien verwendet werden und auf einige interessante Merkmale und Beobachtungen zu diesen Zertifikaten, zusammen mit Erkennungstechniken zu deren schneller Erkennung. Die Entdeckung von Malware-Command-and-Control-Verkehr (C&C) auf Zertifikatsebene ist von entscheidender Bedeutung, um Malware im frühestmöglichen Stadium zu stoppen, insbesondere wenn keine proxybasierte Entschlüsselung verfügbar ist.

Signieren von Zertifikaten

Die ersten Anzeichen für potenzielle bösartige Aktivitäten sind die Art und Weise, wie die fraglichen Zertifikate signiert sind. Von den untersuchten Zertifikaten waren 60 % selbst signiert. Dies sollte an sich schon ein deutliches Warnsignal sein. Auch der Name der Organisation im Zertifikat selbst ist häufig ein Warnsignal: Einige Malware-Familien wie AsyncRAT und BitRAT fügen in diesem Feld ihre eigenen Malware-Namen ein, während andere eine Abwandlung von „default“ oder den seltsamen Namen „Internet Widgits Pty Ltd“ verwenden, der bei der Erstellung von Zertifikaten durch OpenSSL als Standard-Organisationsname genutzt wird.

Auch die Gültigkeit der Zertifikate kann sehr unterschiedlich sein. Derzeit akzeptieren Browser in der Regel Zertifikate mit einer Gültigkeitsdauer von maximal 13 Monaten, und Zertifizierungsbehörden stellen üblicherweise Zertifikate mit einer kürzeren Gültigkeitsdauer aus. Bösartige Zertifikate halten sich normalerweise an diese Regel, einige jedoch nicht. Wir haben Zertifikate mit einer Gültigkeitsdauer von nur einem Monat bis hin zu mehreren Jahren gefunden (einige bis zu 99 Jahre).

Zertifikats-Pinning

Zertifikats-Pinning ist eine Methode, bei der ein Client (entweder ein Browser oder, in diesem Fall, Malware) die Anzahl der gültigen Zertifikate für eine bestimmte Website einschränkt, anstatt einfach jedes Zertifikat zu akzeptieren, das validiert wird. Diese Methode wird von bestimmten Websites und Browsern verwendet, um ihren Datenverkehr zu sichern, aber es sollte nicht überraschen, dass auch Malware diese Methode übernommen hat.

Zwar ist die Methode nicht besonders verbreitet, doch einige Familien nutzen sie extensiv, so etwa IcedID, AsyncRAT, DcRAT, Vawtrak und PhantomNet. Zudem verwenden all diese Malware-Familien selbst signierte Zertifikate, sodass sie über die Methode erkannt werden können. Es ist jedoch durchaus denkbar, dass diese Technik zur Verwendung von Zertifikaten von vertrauenswürdigen Zertifizierungsstellen eingesetzt wird.

Zertifikate von vertrauenswürdigen CAs

Eine nicht unbedeutende Zahl der bösartigen Zertifikate wird von bekannten Zertifizierungsbehörden ausgegeben. Das zeigt die Tabelle:

Certificate Authority Certificates Issued
Let’s Encrypt Authority X3 458
COMODO RSA Domain Validation Secure Server CA 41
RapidSSL CA 19
EssentialSSL CA 18
cPanel, Inc. Certification Authority 13
Others 26

Tabelle. Zertifikate von Trusted Certificate Authorities (CA), die von verschiedenen Malware-Familien benutzt werden

Wir stellten auch fest, dass kein Zertifikat für eine bösartige Domäne nach der von Let’s Encrypt angebotenen dreimonatigen Gültigkeitsdauer verlängert wurde. Bei einigen wenigen Domänen fanden wir jedoch verschiedene Zertifikate für dieselbe Domäne.

Die Richtlinien bezüglich bösartiger Domänen und der Ausstellung von Zertifikaten variieren von CA zu CA. Vor allem Let’s Encrypt ist der Meinung, dass Zertifizierungsstellen den Inhalt von Domänen nicht überwachen sollten. Wenn TLS standardmäßig für alle Domänen aktiviert ist, wäre die Verschlüsselung ein wesentliches Merkmal des gesamten Netzwerkverkehrs. Unabhängig davon, wie man zu dieser Position steht, erschwert sie die Netzwerkverteidigungsverfahren.

Fazit

Normalerweise erschwert verschlüsselter SSL/TLS-Datenverkehr die Erkennung von C&C-Kommunikationsverkehr. Durch die Untersuchung der verwendeten Zertifikate lässt sich dieser Datenverkehr dennoch erkennen, und es können IDS/IPS-Signaturen/Filter erstellt werden, die versuchen, verschiedene Malware-Familien auf der Ebene des Zertifikats-Handshake zu erkennen. Darüber hinaus liefert dieser Ansatz neue Informationen, die Bedrohungsermittler nutzen können, um potenziell bösartigen Datenverkehr zu finden.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

*

Diese Website verwendet Akismet, um Spam zu reduzieren. Erfahre mehr darüber, wie deine Kommentardaten verarbeitet werden.