Firibgarlar yangi hiyla bilan botlarni odam qiyofasida ko’rsatmoqdalar.
Kiberjinoyatchilar ClientHello xabarlarini o’zgartirish orqali zararli trafikni qonuniy deb yashirishni o’rgandilar.
Akamai ma’lumotlariga ko’ra, zararli dastur operatorlari yangi aniqlashdan qochish texnikasini qo’llaganlar. «Shifrni to’xtatish» deb nomlangan bu usul bot tomonidan yaratilgan trafikni inson tomonidan yaratilgan ko’rinishga imkon beradi. Ushbu texnika botlar tomonidan yuborilgan ClientHello xabarlarini o’zgartirishni o’z ichiga oladi. ClientHello – bu qo’l berib ko’rishish paytida serverga uzatiladigan birinchi paket bo’lib, aloqa parametrlari (kerakli TLS versiyasi, ishlatiladigan shifrlash usullari va qo’llab-quvvatlanadigan siqish usullari) haqida ma’lumotni o’z ichiga oladi. Ushbu ma’lumotlar shifrlanmagan bo’lib, xavfsizlik mexanizmlariga mijozning barmoq izlarini tahlil qilish va qonuniy va zararli trafikni ajratish imkonini beradi.
«Shifrlash hiylasi» yordamida tajovuzkorlar barmoq izlari vositalarini aldab, zararli trafikni qonuniy ko’rsatishlari mumkin.
Akamai mutaxassislarining tushuntirishicha, veb-sayt ma’lumotlari ko’pincha HTTPS (SSL/TLS orqali HTTP) orqali uzatiladi. Server TLS aloqasi paytida mijoz ma’lumotlarini oladi va undan qonuniy trafikni zararli trafikdan ajratish uchun foydalanadi. Biroq, tajovuzkorlar TLS imzolarini o’zgartirishni va veb-sayt xavfsizlik mexanizmlarini chetlab o’tishni o’rgandilar.
Kiberjinoyatchilar odatda SSL/TLS imzolarini tasodifiy tanlash orqali xavfsizlik mexanizmlarini chetlab o’tishadi. Biroq, «shifrlash hiylasi» bu yondashuvdan sezilarli darajada farq qiladi, chunki shifrlashning o’zi TLS barmoq izini o’zgartirish uchun tasodifiy ravishda tanlanadi. Akamai ma’lumotlariga ko’ra, 2019-yil fevral oyi oxiriga kelib, TLS imzosini o’zgartirishning 1,3 milliarddan ortiq holati qayd etilgan – bu oktyabr oyiga nisbatan 20% ga ko’p.
