近年來，惡意程式越來越常使用加密來隱藏其網路流量。其實這也很正常，因為一般正常的網路流量也越來越常採用加密連線。Google 在其透明度報告 (Transparency Report) 中指出，目前經由 Google Chrome 瀏覽器所產生的網路流量，絕大部分都經由 HTTPS 加密連線。本文詳細分析惡意程式所使用的 SSL/TLS 憑證。

過去六年以來，我們看到一般惡意程式與目標式攻擊惡意程式大量運用了加密連線。這不僅是為了躲避偵測，更是為了融入一般正常的加密流量。除了惡意程式之外，一些駭客工具平台，如：Cobalt Strike、Metasploit 及 Core Impact 也都使用加密流量。許多案例甚至採用了 SSL/TLS 所使用的 X.509 憑證。

趨勢科技在一篇技術摘要「惡意程式幕後操縱 (C&C) 通訊採用 SSL/TLS 憑證的現況」(The State of SSL/TLS Certificate Usage in Malware C&C Communications) 當中詳細分析了各種惡意程式家族所用的憑證。我們指出了這些憑證的一些特性以及我們觀察到的現象，還有如何迅速偵測這些憑證的技巧。要想盡可能及早攔截惡意程式，最重要的關鍵就是在憑證層次偵測惡意程式的 C&C 通訊流量，尤其是在無法透過代理器 (Proxy) 來進行解密的情況下。