Compilation d’une liste de certificats SSL utilisés par les individus malintentionnés

Les opérateurs de programmes malveillants et de réseaux de zombies ne cessent de changer de tactique dans l’espoir deš garder une longueur d’avance sur les développeurs de technologies de protection. Une des techniques très répandue dans ce milieu consiste à adopter le protocole SSL pour communiquer avec les ordinateurs infectés. Les chercheurs du projet suisse Abuse.ch consacré à la sécurité informatique ont lancé une nouvelle initiative qui repose sur le suivi et la publication des certificats associés à des activités malveillantes.

La ressource SSL Black List (SSLBL) qu’ils ont mis sur pied offre un accès à une liste noire créée sur la base des enregistrements d’une base de données générales. Chaque enregistrement renferme le cache SHA-1 du certificat ainsi qu’une description de la raison pour laquelle il figure dans la base (par exemple, centre de commande ZeuS ou Vawtrak MITM). A l’heure actuelle, la base d’Abuse.ch compte près de 130 certificats SSL, associés pour la majorité à des réseaux de zombies et des programmes malveillants connus tels que Shylock, KINS ou ZeuS.

Dans un communiqué, Abuse.ch déclare : "La tâche de la liste SSLBL est d’identifier les "mauvais" SHA-1 des certificats souvent associés aux activités de programmes malveillants et de réseaux de zombies. Pour l’instant, SSLBL prend en charge les listes noires d’adresses IP et de caches SHA-1 au format CSV et au format de règles Suricata. SSLBL permet d’identifier avec un coefficient de certitude élevé le trafic de commande des réseaux de zombies qui utilisent SSL comme KINS (ou VMZeuS) et Shylock".

Ces dernières années, les experts ont cherché à renforcer le système de certificationš fragile. Ainsi, Google a proposé d’introduire le concept de certificate transparency (transparence des certificats) et de rendre les listes de certificats publiques. Ce système suppose la tenue d’un journal ouvert qui reprendrait tous les certificats émis et repose sur la coopération volontaire des centres de certification.

"Une fois mis en œuvre, Certificate Transparency peut offrir une protection contre plusieurs menaces impliquant des certificats, dont l’octroi erroné et malveillant de certificat ou les centres de certification malveillants" précisent les développeurs. Ces menaces peuvent avoir un impact sur la responsabilité financière des propriétaires des domaines, nuire à la réputation de centres de certification légitimes et exposer les internautes à un large éventail d’attaques comme les attaques de substitution de sites, d’imitation de serveur ou d’homme au milieu.

Threatpost

Posts similaires

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *