La nueva herramienta antimalware y Botnets se llama SSL Black List

0

Los certificados SSL merecen ser protegidos y rastreados, pues el malware también hace uso de ellosUn investigador de seguridad perteneciente a Abuse.ch ha comenzado un interesante proyecto de SSL Blacklisting para crear un archivo de todos los certificados digitales utilizados para actividades ilícitas.

En años anteriores, los investigadores de ciber-seguridad han descubierto muchos casos en que, actores maliciosos, han estado abusando de certificados digitales para llevar a cabo actividades delictivas, desde distribución de malware a espionaje cibernético.

La importancia de los certificados

Los Botmasters (administradores de botnets) están explotando nuevas técnicas para evitar la detección de mecanismos de seguridad y agencias gubernamentales. Por ejemplo, muchos atacantes están utilizando los certificados SSL para proteger tráfico malicioso entre los Servidores de Control y las máquinas infectadas.

Un investigador ha comenzado una nueva iniciativa para rastrear los certificados utilizados por ciber-delincuentes en operaciones de ataque, para después publicarlos en una Lista Negra, llamada SSL Black List.

La SSL Black List es parte de un proyecto comenzado por un investigador suizo, perteneciente a Abuse.ch, que ha participado en investigaciones, en los últimos años, relacionadas con Botnets y familias importantes de Troyanos bancarios.

Cada elemento en la lista asocia un Certificado digital con las operaciones maliciosas llevadas a cabo por sus dueños. Los abusos incluyen Redes de Bots (botnets), campañas de malware y malware bancario.

Viejos conocidos

El archivo situado tras la SSL Black List, que contiene más de 125 certificados digitales, comprende huellas de identidad SHA-1 de cada certificado, junto con una descripción del tipo de delito. Muchas entradas están asociadas con redes de bots populares y ciertos ataques de malware, incluyendo las APT Zeus, Shylock o Kins.

SSL Black List

El proyecto de este investigador suizo responde a un trabajo realizado durante varios años, y que proporciona mecanismos para rastrear determinadas familias de troyanos bancarios y Botnets.


El objetivo de SSLBL es proporcionar una lista de huellas digitales SHA-1 “malas” para certificados digitales, que están asociados con malware y actividades delictivas. Actualmente, SSLBL proporciona una lista negra con rangos de IP y huellas SHA-1 en formato CSV y Suricata. SSLBL nos ayudará a detectar tráfico de Botnets potenciales que actúan sobre SSL, como VMZeus o Shylock


Proyecto de Transparencia en Certificados

Este proyecto se suma a otro mecanismo puesto en marcha por Google y llamado Certificate Transparency. Google está siendo muy activa en el impedimento de uso de certificados digitales comprometidos. Este proyecto se presentó a comienzos de año y viene a ser una especie de registro público de certificados digitales que han sido emitidos, con datos de interés.

De forma especial, Certificate Transparency hace posible que se detecten certificados SSL que han sido emitidos por error o con errores por una Entidad de Certificación, o aquellos que han sido adquiridos de forma maliciosa o por una autoridad no contrastada.

Por desgracia, muchas entidades de certificación aún no están compartiendo logs públicos referentes.

En resumidas cuentas, se pone en marcha una iniciativa que llevávamos tiempo demendando y que promete ser una eficaz herramienta de lucha contra el malware y las APT. A medida que la lista crezca y más entidades se sumen a colaborar, los resultados irán mejorando.

Compartir.

Sobre el Autor

Alejandro es técnico micro-informático, experto en seguridad de las TIC y apasionado de la tecnología. Colabora habitualmente en diferentes publicaciones de seguridad, software y análisis de hardware entusiasta.

Dejar una Respuesta

Uso de cookies

Este sitio web utiliza cookies para que usted tenga la mejor experiencia de usuario. Si continúa navegando está dando su consentimiento para la aceptación de las mencionadas cookies y la aceptación de nuestra política de cookies, pinche el enlace para mayor información.

ACEPTAR