在过去六个月当中,Amazon Web Services在云托管恶意软件攻击活动中的参与比例已经增加了一倍多。
这一结论来自NTT下属子公司Solutionary,其在上周二发布的2014年第二季度安全工程研究团队(简称SERT)报告当中公布了这项消息。
根据信息安全研究人员们的说明,在本次调查所涵盖的全球十大网络服务供应商以及托管供应商当中,由Amazon基础设施所托管的恶意网站数量发生激增、其具体比例由2013年第四季度的16%上涨到今年第二季度的41%。
与此同时,知名欧洲托管服务供应商OVH所承载的恶意站点比例也由10%提升到了13%;Akamai由去年的9%增加到如今的12%;而谷歌则由6%上涨至9%。除此之外,GoDaddy的恶意软件占比却由去年第四季度的14%下降到现在的2%。
柱状图所示为Solutionary针对各大服务供应商作出的恶意软件站点托管比例,其中蓝色为2014年第二季度状况、绿色则代表2013年第四季度。
这已经不是Amazon第一次被邪恶势力用来大规模托管恶意软件了——Solutionary曾在2013年第四季度的SERT报告中得出过同样的结论,而来自卡巴斯基的研究人员们也曾于2011年发现Amazon Web Services被用于托管臭名昭著的SpyEye恶意软件。
部分原因在于,Amazon拥有极为夸张的基础设施规模以及作为云服务的旺盛人气,此外其极为低廉的使用成本同样成为重要的吸引力因素。这意味着任何想要搞鬼的家伙都能从犯罪分子手中买下服务器镜像,并将其部署在AWS当中、进而构建起一套用于散布恶意软件的网站体系。
“网络服务的云实例在Amazon、GoDaddy以及其它所有主流托管服务供应商的平台中都能轻松完成配置,”Solutionary公司安全专家Chad Kahl在本周三接受采访时解释道。
“当大家开始接触到地下论坛——包括那些俄罗斯论坛或者中国论坛——那些犯罪分子出售的并不是什么Zeus恶意软件包,他们交给买家的其实是一整套命令与控制基础设施、一个等待配置的钓鱼网站以及一个由下载驱动的网站。”
“这些罪恶根源提供的其实属于犯罪即服务,”他解释道。“这是一套以大规模态势加以运行的脚本集合。”
各大主流服务供应商难以将恶意脚本阻隔在其服务之外的另一大原因在于,犯罪分子们通常会在不同云环境之间快速切换,Kahl指出。“大部分恶意软件运营者会同时采用来自不同国家的不同托管供应商、互联网服务供应商以及代理主机。”
托管在公有云中的病毒、木马与其它恶意软件的数字指纹已经得到掌握并广泛流传在信息安全领域当中,而这些宝贵资料足以用于识别恶意的二进制文件,Kahl指出。
“问题在于,这些供应商是否有能力扫描基础设施当中的一切内容?”他问道。
Amazon、GoDaddy、谷歌以及其它各企业可能已经开始向相关工具投入研发资金,旨在利用这些方案将托管文件与已知恶意二进制文件数据库进行高效比对,他表示。
“当我们谈到Amazon或者GoDaddy这样的大厂商时,他们无疑会在架构与时间方面加大投入,从而通过定期扫描了解并控制当前正处于运行状态的数据内容,并最终保证恶意软件不会危害到其他使用者,”这位研究人员表示。
而且已经有一些厂商真正开始作出努力,根据我们掌握的情况,微软就已经着手推动一系列针对恶意软件的处理项目。与之类似,谷歌的全新Zero项目团队也把抢在恶意人士发现并利用之前将安全漏洞消灭在摇篮中作为自己的核心任务。
在Amazon方面,一位发言人告诉我们:“AWS利用大量缓解性技术、从人工以及自动化角度着手,希望能够避免该服务遭到滥用。”
“我们的自动化系统已经落实到位,能够在攻击活动影响到我们的基础设施之前将其揪出并屏蔽掉。我们的使用情况审核条款非常明确,而且一旦发现滥用、我们会迅速采取行动并将其关闭。如果各企业发现源自AWS的恶意活动,请立即与我们的ec2-abuse@amazon.com邮箱进行联系。”