與Carbanak集團一樣的黑客使用Google云服務(wù)滲透進企業(yè)系統(tǒng)。專家Rob Shapland解釋了它是如何工作的，以及可以采取什么措施來阻止它。 　　安全研究人員最近透露，Carbanak團伙是以金融機構(gòu)為目標的最臭名昭著的團體之一，它通過Google云服務(wù)來實現(xiàn)一些指揮和控制能力。 　　當嘗試危害一個擁有與大多數(shù)銀行一樣成熟的安全性的組織時，與任何已安裝的惡意軟件通信都變得困難。這是因為該組織可能通過白名單阻止未知IP地址的出站流量，并且可以檢查任何出站流量的惡意活動指標。 　　犯罪團伙越來越多地試圖通過使用網(wǎng)絡(luò)過濾和防火墻允許的非常普遍和受歡迎的服務(wù)來打敗這一點。這一現(xiàn)象已經(jīng)在最近出現(xiàn)的通過使用SugarSync來幫助開發(fā)的CloudFanta惡意軟件中出現(xiàn)。但是，使用Google是進一步的演變，因為大多數(shù)公司都允許訪問Google云服務(wù)。阻止對Google應(yīng)用的訪問將是困難的，因為它們可能是業(yè)務(wù)的一部分，或者客戶可以通過Google文檔與他們共享數(shù)據(jù)。通過使用Google服務(wù)，Carbanak團伙能夠管理和修改其惡意軟件感染，并從受害者網(wǎng)絡(luò)中過濾出數(shù)據(jù)。 　　如何減輕這種威脅 　　阻止這種新型云控制惡意軟件的一種方法是使用白名單或黑名單技術(shù)阻止Google云服務(wù)。然而，在許多情況下，這是不可能的，因為它直接干擾業(yè)務(wù)的運營。除非你愿意將保護擴展到所有的云服務(wù)，否則這不是一個有效的防御。同樣，試圖從合法的角度發(fā)現(xiàn)流向Google的惡意流量將是一項非常困難和耗時的任務(wù);例如，檢查SSL流量需要顯著的處理能力，并且會影響網(wǎng)絡(luò)性能。 　　阻止這種攻擊的關(guān)鍵方法是防止初次感染。Carbanak團伙通過電子郵件附件傳送惡意軟件來進行感染傳播，就像絕大多數(shù)的犯罪網(wǎng)絡(luò)攻擊案一樣。這些電子郵件使用社會工程學(xué)技術(shù)說服用戶打開附件，在Carbanak的案例中，附件就是一個嵌入惡意軟件的Word文檔。 　　最重要的防線是員工的意識。每個企業(yè)都應(yīng)該對此進行持續(xù)教育，以確保員工意識到打開電子郵件附件的風險。除此之外，應(yīng)該定期地進行電子郵件釣魚測試來評估員工的意識，并提供響應(yīng)率的指標。這些場景可以從真實的攻擊中獲取，以測試對真實威脅的防范意識。 　　在技術(shù)層面，更先進的犯罪團伙使用的惡意軟件將無法被殺毒和端點安全檢測到。但是，禁用Microsoft產(chǎn)品中的宏將防止惡意軟件運行并與Google云服務(wù)進行通信，并且應(yīng)使用安全的電子郵件網(wǎng)關(guān)來最大限度地減少發(fā)送到員工收件箱的網(wǎng)絡(luò)釣魚郵件的數(shù)量。 　　關(guān)于Carbanak團伙手法的信息已經(jīng)傳遞給Google，因此，他們現(xiàn)在使用的確切方法可能會被關(guān)閉。然而，與大多數(shù)安全性問題一樣，罪犯可以改變他們的手法，這就是為什么最有效的防御形式總是阻止最初的感染。