趋势科技发现恶意广告利用由Let’s Encrypt项目颁发的SSL证书来隐藏恶意流量。
Let’sEncrypt帮助了包括网络犯罪分子在内的所有人
通常来讲,网络犯罪分子会从黑市上购买被盗的SSL证书,并将它们应用在自己的恶意广告活动中。对于我们大多数人来讲,这些恶意软件最终都会被发现,而且被其合法所有者所撤销。
而现在随着Let’s Encrypt试用版的发布,网络犯罪分子们甚至无需为SSL证书支付就能免费获取。趋势科技指出,恶意作者花费了大约两周的时间将免费的Let’sEncrypt证书应用于恶意广告活动中。
Let’sEncrypt证书被用来隐藏恶意广告的流量
Let’s Encrypt证书在12月3日正式进入公测阶段后,趋势科技就在12月21日发现了有恶意广告活动利用证书隐藏自己的运行痕迹。这次活动一直持续到12月31日,并且主要影响来自日本的用户。受感染的用户被重定向至含有Angler利用包的网页上,受到Vawtrack银行木马的感染。这些恶意广告托管在一个影子余明忠,而且所有流向这个域名的流量都通过Let’sEncrypt证书加密。
Let’sEncrypt证书本身容易被恶意利用
由于Let’s Encrypt只会检查针对谷歌SafeBrowsing API的主域名,而无法检测本案例中的影子域名,而且恶意广告作者能够轻易要求并获取到证书。
由于Let’s Encrypt安装在了最受欢迎的100万站点中的1871个站点中,因此可能还会出现更多恶意利用的事件。趋势科技指出,用户应该意识到一个“安全的”网站并不一定真正安全,而且我们知道即使是防御利用工具包最强大的软件也时时刻刻在更新以将可利用的漏洞数量最少化。