Abuse.ch erstellt Liste der von Schädlingen benutzten SSL-Zertifikate

Malware- und Botnet-Betreiber ändern ständig ihre Taktik und versuchen so, der Entwicklung von Schutztechnologien um ein, zwei Schritte voraus zu sein. Eins dieser taktischen Manöver, das in dieser Community weit verbreitet ist, ist die Verwendung des SSL-Protokolls zur Verbindung mit den infizierten Rechnern. Die Experten des Schweizer IT-Sicherheitsprojekts Abuse.ch präsentierten nun eine neue Initiative: Sie identifizieren und veröffentlichen die Zertifikate, die mit schädlicher Aktivität in Verbindung gebracht werden.

Die von ihnen begründete Ressource SSL Black List (SSLBL) bietet offenen Zugriff auf Schwarze Listen, die auf der Grundlage von Einträgen in eine allgemeine Datenbank zusammengestellt werden. Jeder Eintrag umfasst die Hash SHA-1 des Zertifikats und den Grund für die Aufnahme in die Datenbank (beispielsweise ZeuS C&C oder Vawtrak MITM). Zum gegenwärtigen Zeitpunkt zählt die Datenbank von Abuse.ch um die 130 SSL-Zertifikate, von denen viele mit den Namen wohl bekannter Botnetze und Schädlinge in Verbindung stehen, wie etwa Shylock, KINS, ZeuS.

„Die Aufgabe der SSLBL ist es, eine Liste “schlechter” SHA1-Fingerabdrücke von SSL-Zertifikaten bereit zu stellen, die mit der Aktivität von Schadprogrammen oder Botnetzen assoziiert werden“, heißt es in einer Erklärung von Abuse.ch. „Aktuell unterstützt SSLBL Schwarze Listen von IP-Adressen und SHA1-Hashes im Format CSV und im Suricata Rule Format. Mit Hilfe der SSLBL lässt sich C&C-Traffic von Botnetzen, die SSL verwenden, mit hoher Wahrscheinlichkeit identifizieren, wie z.B. KINS (alias VMZeuS) und Shylock.“

In den letzten Jahren versuchen Experten mit unterschiedlichen Mitteln, das zerbrechliche Zertifikatssystem zu vereinfachen. Google hat beispielsweise vorgeschlagen, den Begriff Certificate Transparency – Zertifikatstransparenz – einzuführen und Zertifikatslisten zu veröffentlichen. Ein solches System setzt die Einführung eines offenen Katalogs aller ausgegebenen Zertifikate voraus und macht die freiwillige Mitarbeit der Zertifizierungsstellen erforderlich.

“Nach seiner Einführung wird Certificate Transparency einen Beitrag zum Schutz vor mehreren Bedrohungen mit Zertifikatscharakter leisten, unter anderem vor der versehentlichen und böswilligen Ausgabe von Zertifikaten und vor schädlichen Zertifizierungszentren“, erklären die Entwickler. “Diese Bedrohungen können sich in der finanziellen Verantwortlichkeit der Domaininhaber widerspiegeln, den guten Ruf von legitimen Zertifizierungsstellen untergraben und die Internetnutzer einem breiten Spektrum von Angriffen aussetzen, wie etwa dem Austausch von Websites, Server-Imitation und „Man-in-the-Middle“.

Quellen: Threatpost
Abuse.ch

Ähnliche Beiträge

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.