与Carbanak集团一样的黑客使用Google云服务渗透进企业系统。专家Rob Shapland解释了它是如何工作的,以及可以采取什么措施来阻止它。
安全研究人员最近透露,Carbanak团伙是以金融机构为目标的最臭名昭著的团体之一,它通过Google云服务来实现一些指挥和控制能力。
当尝试危害一个拥有与大多数银行一样成熟的安全性的组织时,与任何已安装的恶意软件通信都变得困难。这是因为该组织可能通过白名单阻止未知IP地址的出站流量,并且可以检查任何出站流量的恶意活动指标。
犯罪团伙越来越多地试图通过使用网络过滤和防火墙允许的非常普遍和受欢迎的服务来打败这一点。这一现象已经在最近出现的通过使用SugarSync来帮助开发的CloudFanta恶意软件中出现。但是,使用Google是进一步的演变,因为大多数公司都允许访问Google云服务。阻止对Google应用的访问将是困难的,因为它们可能是业务的一部分,或者客户可以通过Google文档与他们共享数据。通过使用Google服务,Carbanak团伙能够管理和修改其恶意软件感染,并从受害者网络中过滤出数据。
如何减轻这种威胁
阻止这种新型云控制恶意软件的一种方法是使用白名单或黑名单技术阻止Google云服务。然而,在许多情况下,这是不可能的,因为它直接干扰业务的运营。除非你愿意将保护扩展到所有的云服务,否则这不是一个有效的防御。同样,试图从合法的角度发现流向Google的恶意流量将是一项非常困难和耗时的任务;例如,检查SSL流量需要显著的处理能力,并且会影响网络性能。
阻止这种攻击的关键方法是防止初次感染。Carbanak团伙通过电子邮件附件传送恶意软件来进行感染传播,就像绝大多数的犯罪网络攻击案一样。这些电子邮件使用社会工程学技术说服用户打开附件,在Carbanak的案例中,附件就是一个嵌入恶意软件的Word文档。
最重要的防线是员工的意识。每个企业都应该对此进行持续教育,以确保员工意识到打开电子邮件附件的风险。除此之外,应该定期地进行电子邮件钓鱼测试来评估员工的意识,并提供响应率的指标。这些场景可以从真实的攻击中获取,以测试对真实威胁的防范意识。
在技术层面,更先进的犯罪团伙使用的恶意软件将无法被杀毒和端点安全检测到。但是,禁用Microsoft产品中的宏将防止恶意软件运行并与Google云服务进行通信,并且应使用安全的电子邮件网关来最大限度地减少发送到员工收件箱的网络钓鱼邮件的数量。
关于Carbanak团伙手法的信息已经传递给Google,因此,他们现在使用的确切方法可能会被关闭。然而,与大多数安全性问题一样,罪犯可以改变他们的手法,这就是为什么最有效的防御形式总是阻止最初的感染。