网络安全公司Sophos报告说，利用TLS或传输层安全进行通信而不被发现的恶意软件比例大幅上升。

而HTTPS有助于防止窃听、中间人攻击和试图假冒可信网站的劫持者，该协议还为网络犯罪分子在网站和指挥控制服务器之间私下共享信息提供了掩护，而恶意软件猎手看不到这些信息。

“因此，恶意软件运营商也一直在采用TLS也就不足为奇了。。。Sophos说：“为了防止防御者发现并阻止恶意软件的部署和数据的窃取，恶意软件通信主要分为三类：下载更多的恶意软件、窃取数据的过滤或命令和控制。所有这些类型的通信都可以利用TLS加密来逃避防御者的检测，保安公司说https://news.sophos.com/en-us/2021/04/21/approw-half-malware-now-use-tls-to-hidder-communications/“target=”\u blank“rel=”noopener noreferrer nofollow“data component=”externalLink“>根据Sophos，一年前，24%的恶意软件使用TLS进行通信，但今天这一比例已上升到46%。

Sophos说，恶意软件使用TLS的总体增长很大一部分可能与TLS保护的合法web和云服务作为恶意软件组件的无意存储的使用增加有关，作为被盗数据的目的地，甚至向僵尸网络和其他恶意软件发送命令。

该公司还表示，在过去一年中，在勒索软件攻击中使用TLS的情况有所增加，尤其是在手动部署的勒索软件中，部分原因是攻击者使用了利用HTTPS的模块化攻击工具。

“但是，我们每天在恶意TLS流量中检测到的绝大多数内容都来自最初的恶意软件：加载程序、拖放程序和基于文档的安装程序，它们返回到安全的网页以检索它们的信息“安装包，”它说，“我们发现，虽然TLS在三个月内仍占Sophos分类为“恶意软件呼叫总部”的总流量的平均2%多一点，56%与恶意软件通信的唯一C2服务器（通过DNS主机名识别）使用HTTPS和TLS。“

其中一个重点是基于PowerShell的LockBit勒索软件，它通过TLS远程从Google Docs电子表格中获取脚本。但是恶意软件运营商经常使用多个web服务来实现不同的功能。