Найден способ обнаруживать зловреды в зашифрованном трафике

Группа исследователей компании Cisco сообщила о найденном ими способе обнаружения вредоносного трафика внутри защищенных шифрованием TLS соединений. Примечательно то, что их метод не требует расшифровки данных, основываясь лишь на анализе поведения потоков. Исследователи проанализировали миллионы пакетов зашифрованных данных и смогли с высокой степенью точности выявить поведение зловредов 18 распространенных семейств, включая такие популярные у киберпреступников как Bergat, Deshacop, Dridex, Dynamer, Virlock, Virtob, Yakes, Zbot и Zusy. Вероятность обнаружения и определения семейств зловредов в зашифрованном потоке трафика в ходе экспериментов превысила 90 процентов.

Работа под названием Deciphering Malware's use of TLS (without Decryption), подробно описывающая методику обнаружения зловредов, опубликована на сайте arxiv.org. К сожалению, сами авторы исследования признают, что метод не может быть использован интернет-провайдерами. Зато вполне может быть взят на вооружение крупными компаниями для защиты своих корпоративных сетей от вредоносного трафика.