C&C sunucu iletişimini korumak için SSL kullanan kötü amaçlı yazılım sayısında ani bir artış yaşandı.
Araştırmacılar hem ay bazında tespit edilen kötü amaçlı yazılım sayısında hem de toplam aktif C&C sunucusu sayısında bir artış olduğunu söylüyor. Güvenlik şirketi Blue Coat 2015 sonundan itibaren SSL kullanımında ciddi bir artış gözlemlediklerini ifade ediyor.
Şirket Ocak 2014 ve Aralık 2015 arasındaki siberkriminal faaliyetleri incelediğini ve kriminal faaliyetlerde sık sık kullanılan istismar edilmiş veya kötü SSL sertifikalarının takibinin yapıldığı SSL Blacklist sitesinden elde ettikleri veriyi değerlendirdiklerini söylüyor.
Şirketin hazırladığı raporda kendini korumak için SSL kullanan kötü amaçlı yazılım ailelerinin tespitine ve altyapılarına yönelik bir analiz bulunmakta. Bu kötü amaçlı yazılınmlar arasında Dridex, KINS, Shylock, URLzone, TeslaCrypt, CryptoLocker, TorrentLocker, CryptoWall, Upatre, Gootkit, Geodo, Tinba, Gozi, VMZeus, Redyms, Vawtrack, Qadars, Spambot, Emotee ve Retefe gibi isimler bulunmakta.
SSL kullanan C&C sunucusu sayısı 200 kat arttı
Blue Coat araştırmacıları, inceleme altına aldıkları iki yıllık periyod içerisinde, SSL kullansın ya da kullanmasın tüm kötü amaçlı yazılımların sayısında bir artış olduğunu tespit etti.
SSL kullanan kötü amaçlı yazılım sayısı, genel kötü amaçlı yazılım sayısına kıyasla bugüne kadar hep daha az olmuştu. Ancak Ekim 2015’ten sonra SSL kullanan kötü amaçlı yazılım sayısında ani bir artış gözlendi.
Araştırmacılar SSL kullanan kötü amaçlı yazılım sayısının ayda 500’den iki aylık bir dilimde 29.000’e çıktığını tespit ettiklerini ifade ediyorlar. Aynı durum botlarıyla konuşmak için SSL korumalı bağlantıları kullanan C&C sunucusu sayısında da yaşandı. Bu sayı 2015’in ilk çeyreğinde yaklaşık 1000’ken, 2015’in üçüncü çeyreğinde 200.000’e çıktı.
Blue Coat C&C sunucularının hackerların koordinasyon noktası, kötü amaçlı yazılım indirme siteleri, veri sızdırma noktaları ve diğer web tabanlı operasyon noktaları olarak kullandığı web siteleri veya IP’ler olduğunu düşünüyor.
SSL kötü amaçlı yazılımlarda tatillerden hemen önce geçen yıllara nazaran büyük bir artış gözlemlendi
Konu hakkında Blue Coat araştırmacıları şunları söylüyor: “Bu ani artışın zamanlamasına bakıldığında, tatil sezonunun hemen öncesine denk geldiği görülüyor. Bu nedenle bu artışın bu tip kötü amaçlı yazılım ailelerine dayanan bir ya da daha fazla büyük kampanyanın başlatılmasıyla bağlantılı olduğu söylenebilir.”
Araştırmacılar ayrıca C&C sunucusu sayısının kötü amaçlı yazılım sayısındaki artıştan epey önce tespit edildiğini, bunun da siber suçluların kötü amaçlı yazılım kampanyalarını başlatmadan önce C&C sunucu altyapılarını oluşturmaları gerektiği için tahmin edilebilir bir durum olduğunu sözlerine ekliyor.
Blue Coat ekibi C&C sunucusu sayısındaki büyük artışın nedenlerini ise “C&C sunucusu sayısındaki büyük artış büyük ihtimalle C&C altyapısının kurulacağı kısa ömürlü domainler için Domain Oluşturan Algoritmalar (Domain Generating Algorithms/DGA) kullanan kötü amaçlı yazılımlardan kaynaklanıyor,” ifadesiyle açıklıyor.