与Carbanak集团一样的黑客使用Google云服务渗透进企业系统。专家Rob Shapland解释了它是如何工作的,以及可以采取什么措施来阻止它。
安全研究人员最近透露,Carbanak团伙是以金融机构为目标的最臭名昭著的团体之一,它通过Google云服务来实现一些指挥和控制能力。
当尝试危害一个拥有与大多数银行一样成熟的安全性的组织时,与任何已安装的恶意软件通信都变得困难。这是因为该组织可能通过白名单阻止未知IP地址的出站流量,并且可以检查任何出站流量的恶意活动指标。
犯罪团伙越来越多地试图通过使用网络过滤和防火墙允许的非常普遍和受欢迎的服务来打败这一点。这一现象已经在最近出现的通过使用SugarSync来帮助开发的CloudFanta恶意软件中出现。但是,使用Google是进一步的演变,因为大多数公司都允许访问Google云服务。阻止对Google应用的访问将是困难的,因为它们可能是业务的一部分,或者客户可以通过Google文档与他们共享数据。通过使用Google服务,Carbanak团伙能够管理和修改其恶意软件感染,并从受害者网络中过滤出数据。
如何减轻这种威胁
阻止这种新型云控制恶意软件的一种方法是使用白名单或黑名单技术阻止Google云服务。然而,在许多情况下,这是不可能的,因为它直接干扰业务的运营。除非你愿意将保护扩展到所有的云服务,否则这不是一个有效的防御。同样,试图从合法的角度发现流向Google的恶意流量将是一项非常困难和耗时的任务;例如,检查SSL流量需要显著的处理能力,并且会影响网络性能。
阻止这种攻击的关键方法是防止初次感染。Carbanak团伙通过电子邮件附件传送恶意软件来进行感染传播,就像绝大多数的犯罪网络攻击案一样。这些电子邮件使用社会工程学技术说服用户打开附件,在Carbanak的案例中,附件就是一个嵌入恶意软件的Word文档。
最重要的防线是员工的意识。每个企业都应该对此进行持续教育,以确保员工意识到打开电子邮件附件的风险。除此之外,应该定期地进行电子邮件钓鱼测试来评估员工的意识,并提供响应率的指标。这些场景可以从真实的攻击中获取,以测试对真实威胁的防范意识。
在技术层面,更先进的犯罪团伙使用的恶意软件将无法被杀毒和端点安全检测到。但是,禁用Microsoft产品中的宏将防止恶意软件运行并与Google云服务进行通信,并且应使用安全的电子邮件网关来最大限度地减少发送到员工收件箱的网络钓鱼邮件的数量。
关于Carbanak团伙手法的信息已经传递给Google,因此,他们现在使用的确切方法可能会被关闭。然而,与大多数安全性问题一样,罪犯可以改变他们的手法,这就是为什么最有效的防御形式总是阻止最初的感染。
我们一直都在努力坚持原创.......请不要一声不吭,就悄悄拿走。
我原创,你原创,我们的内容世界才会更加精彩!
【所有原创内容版权均属TechTarget,欢迎大家转发分享。但未经授权,严禁任何媒体(平面媒体、网络媒体、自媒体等)以及微信公众号复制、转载、摘编或以其他方式进行使用。】
微信公众号
TechTarget
官方微博
TechTarget中国
作者
Senior penetration tester at First Base Technologies where he specialises in Web application security.
相关推荐
-
四种常见的云攻击及其应对措施
云攻击正越来越多地瞄准服务供应商们。专家Frank Siemons在本文中介绍了服务供应商与企业用户应当予以防护的多种不同类型的攻击。
-
应对云攻击 评估云安全控制是关键
随着针云攻击越来越多,企业用户必须提前对他们的云安全控制措施做好评估。在本文中,Dave Shackleford提供了一些防御云攻击的最佳实践。
-
云攻击潜入企业和云提供商间的安全缺口
攻击通常很简单:一封带链接的邮件,在Office 365中打开一个Word文档,Office 365是微软基于SaaS的订阅生产软件。