與Carbanak集團(tuán)一樣的黑客使用Google云服務(wù)滲透進(jìn)企業(yè)系統(tǒng)。專家Rob Shapland解釋了它是如何工作的，以及可以采取什么措施來(lái)阻止它。 　　安全研究人員最近透露，Carbanak團(tuán)伙是以金融機(jī)構(gòu)為目標(biāo)的最臭名昭著的團(tuán)體之一，它通過(guò)Google云服務(wù)來(lái)實(shí)現(xiàn)一些指揮和控制能力。 　　當(dāng)嘗試危害一個(gè)擁有與大多數(shù)銀行一樣成熟的安全性的組織時(shí)，與任何已安裝的惡意軟件通信都變得困難。這是因?yàn)樵摻M織可能通過(guò)白名單阻止未知IP地址的出站流量，并且可以檢查任何出站流量的惡意活動(dòng)指標(biāo)。 　　犯罪團(tuán)伙越來(lái)越多地試圖通過(guò)使用網(wǎng)絡(luò)過(guò)濾和防火墻允許的非常普遍和受歡迎的服務(wù)來(lái)打敗這一點(diǎn)。這一現(xiàn)象已經(jīng)在最近出現(xiàn)的通過(guò)使用SugarSync來(lái)幫助開(kāi)發(fā)的CloudFanta惡意軟件中出現(xiàn)。但是，使用Google是進(jìn)一步的演變，因?yàn)榇蠖鄶?shù)公司都允許訪問(wèn)Google云服務(wù)。阻止對(duì)Google應(yīng)用的訪問(wèn)將是困難的，因?yàn)樗鼈兛赡苁菢I(yè)務(wù)的一部分，或者客戶可以通過(guò)Google文檔與他們共享數(shù)據(jù)。通過(guò)使用Google服務(wù)，Carbanak團(tuán)伙能夠管理和修改其惡意軟件感染，并從受害者網(wǎng)絡(luò)中過(guò)濾出數(shù)據(jù)。 　　如何減輕這種威脅 　　阻止這種新型云控制惡意軟件的一種方法是使用白名單或黑名單技術(shù)阻止Google云服務(wù)。然而，在許多情況下，這是不可能的，因?yàn)樗苯痈蓴_業(yè)務(wù)的運(yùn)營(yíng)。除非你愿意將保護(hù)擴(kuò)展到所有的云服務(wù)，否則這不是一個(gè)有效的防御。同樣，試圖從合法的角度發(fā)現(xiàn)流向Google的惡意流量將是一項(xiàng)非常困難和耗時(shí)的任務(wù);例如，檢查SSL流量需要顯著的處理能力，并且會(huì)影響網(wǎng)絡(luò)性能。 　　阻止這種攻擊的關(guān)鍵方法是防止初次感染。Carbanak團(tuán)伙通過(guò)電子郵件附件傳送惡意軟件來(lái)進(jìn)行感染傳播，就像絕大多數(shù)的犯罪網(wǎng)絡(luò)攻擊案一樣。這些電子郵件使用社會(huì)工程學(xué)技術(shù)說(shuō)服用戶打開(kāi)附件，在Carbanak的案例中，附件就是一個(gè)嵌入惡意軟件的Word文檔。 　　最重要的防線是員工的意識(shí)。每個(gè)企業(yè)都應(yīng)該對(duì)此進(jìn)行持續(xù)教育，以確保員工意識(shí)到打開(kāi)電子郵件附件的風(fēng)險(xiǎn)。除此之外，應(yīng)該定期地進(jìn)行電子郵件釣魚(yú)測(cè)試來(lái)評(píng)估員工的意識(shí)，并提供響應(yīng)率的指標(biāo)。這些場(chǎng)景可以從真實(shí)的攻擊中獲取，以測(cè)試對(duì)真實(shí)威脅的防范意識(shí)。 　　在技術(shù)層面，更先進(jìn)的犯罪團(tuán)伙使用的惡意軟件將無(wú)法被殺毒和端點(diǎn)安全檢測(cè)到。但是，禁用Microsoft產(chǎn)品中的宏將防止惡意軟件運(yùn)行并與Google云服務(wù)進(jìn)行通信，并且應(yīng)使用安全的電子郵件網(wǎng)關(guān)來(lái)最大限度地減少發(fā)送到員工收件箱的網(wǎng)絡(luò)釣魚(yú)郵件的數(shù)量。 　　關(guān)于Carbanak團(tuán)伙手法的信息已經(jīng)傳遞給Google，因此，他們現(xiàn)在使用的確切方法可能會(huì)被關(guān)閉。然而，與大多數(shù)安全性問(wèn)題一樣，罪犯可以改變他們的手法，這就是為什么最有效的防御形式總是阻止最初的感染。