云惡意軟件類型以及如何防御

惡意軟件是我們必須面對的現實，而且惡意軟件不太可能很快消失。

我們每天都需要與蠕蟲、病毒、間諜軟件和其他行惡意軟件作斗爭，而云惡意軟件是我們需要面對的又一種類別。這種惡意軟件并不是新鮮事，它已經發展十多年。例如，SpyEye銀行木馬早在2011年就托管在亞馬遜簡單存儲服務存儲桶中。云安全提供商Netskope報告稱，68%的惡意軟件下載來自云應用程序。

讓我們來看看云惡意軟件的類型以及如何防御它們。

云惡意軟件類型

圍繞云惡意軟件的所有討論都集中在兩個特定的類別：

1. 使用云進行交付和通信（命令和控制）的惡意軟件;

2. 明確針對云資產和資源的惡意軟件。

現代惡意軟件通過各種方式通過云服務獲得立足點。首先，很多類型的惡意軟件都托管在云存儲環境中，無論是在專用服務中，例如Dropbox或Box中，還是在IaaS或PaaS云中的存儲節點中。這些公開的存儲帳戶或節點通常位于眾所周知的云服務提供商（CSP）環境中，以最大程度地減少內容篩選軟件阻止托管域的可能性。特別是勒索軟件，通常被認為是云托管威脅。

其次，很多惡意軟件變體將其命令和控制基礎設施托管在云中，因為大多數企業不會明確阻止流向AWS，Azure，Google云平臺和其他大型CSP的流量。

第三，某些類型的惡意軟件可能用于DDoS活動，然后使用攻擊者控制的云托管系統向受害者發送大量流量。這些攻擊也可能是云租戶帳戶中的系統受感染的結果。

同時，惡意軟件的新變體以云服務和工作負載為目標。其中最著名的是加密貨幣礦工，他們主要瞄準基于云的VM和容器工作負載。這些類型的惡意軟件會掃描公開的API，以確定是否可以利用其中任何一個來允許在工作負載上安裝和執行。一旦完成，攻擊者就會挖掘加密貨幣以獲取利潤。

趨勢科技報告稱，各種攻擊者團伙會攻擊暴露的云資產和服務，然后利用各種技術技術挖掘加密貨幣，例如使用SSH暴力破解、遠程利用易受攻擊的服務，以及通過公開的API發出命令等。

其他以云為中心的惡意軟件包括將惡意文件嵌入到VM模板中以繼續傳播和持久化-這種技術在加密采礦攻擊者團伙TeamTNT中的攻擊活動多次出現。另一種常見的云惡意軟件涉及通過云提供商市場中受感染的插件和模塊進行攻擊-這種技術可用于從SaaS部署中竊取數據或嵌入到PaaS和IaaS帳戶中。這些攻擊有無數種變體。

如何對抗云惡意軟件

幸運的是，我們有辦法可以檢測和預防云惡意軟件。企業應執行以下操作：

• 加密存儲在云端的所有數據。這有助于防止數據泄露或感染-當基于云的惡意軟件瞄準帳戶和工作負載時。
• 要求對所有云用戶帳戶進行強身份驗證。強密碼和多因素身份驗證有助于防止云帳戶受到惡意軟件活動的攻擊。
• 備份云工作負載和數據。理想情況下，如果可能的話，將工作負載映像和數據存儲備份并復制到單獨的帳戶或訂閱中。這有助于緩解各種基于云的惡意軟件技術。
• 部署基于網絡和身份的隔離和分段。 現在有很多面向云的分段策略可用，企業應盡可能減少特定帳戶或網絡子網內的可攻擊外圍應用。
• 部署網絡行為監控工具和服務。 所有主要的IaaS云都向租戶提供網絡流數據。可以對這些信息進行匯總和分析，以發現橫向移動和指揮與控制流量的指標。
• 使用云提供商工具和檢測技術。除了記錄事件并將該數據發送到中央分析平臺之外，有些云服務提供商還提供惡意軟件檢測技術，可以發現惡意軟件感染或行為的指標。例如，微軟在其很多微軟365服務中提供惡意軟件檢測功能。雖然云惡意軟件可能會在可預見的未來繼續存在，但好消息是：我們正在越來越有效地對抗云惡意軟件。