信息來源:安全牛
微軟放出了壞消息,公司企業(yè)在云端找到安全天堂的美夢破滅。如今,IT部門不斷增加的網(wǎng)絡(luò)安全問題列表中,可以添加上武器化云虛擬機這一條了。
微軟日前發(fā)布了其安全情報報告第22卷。該報告經(jīng)由2017年第1季度收集到的威脅數(shù)據(jù)編譯而成。毫無意外,攻擊者繼續(xù)跟著目標(biāo)的腳步走,而如今,戰(zhàn)場延伸到了云端。
在云武器化威脅場景中,攻擊者通過入侵控制一個或多個虛擬機,在云基礎(chǔ)設(shè)施里建立橋頭堡。然后,攻擊者便可利用這些虛擬機發(fā)起攻擊,比如針對其他虛擬機的暴力破解攻擊,用于網(wǎng)絡(luò)釣魚郵件攻擊的垃圾郵件行動、端口掃描之類的新攻擊目標(biāo)偵察行動,以及其他惡意活動。
第1季度里,微軟Azure安全中心服務(wù)見證了很多出站攻擊嘗試,主要是為了與惡意IP地址建立通信(51%)和進行遠(yuǎn)程桌面協(xié)議(RDP)暴力破解攻擊嘗試。攻擊者還試圖使用基于云的虛擬機來群發(fā)垃圾郵件(19%),進行端口掃描探索(3.7%)和嘗試強行繞過SSH防護。
虛擬機被攻破后,往往會“回連”命令與控制服務(wù)器(C2)。絕大多數(shù)此類連接嘗試都連向了來自中國的惡意IP地址(89%),其次就是美國的IP地址(4.2%)。
至于對微軟Azure的入站攻擊,大部分源自中國(35.1%)和美國(32.5%),韓國雖然排第三,比例卻遠(yuǎn)小于中美(3.1%)。
微軟安全研究人員警告道:攻擊者已不滿足于用勒索軟件鎖定用戶的PC,他們對個人和公司云賬戶的興趣越來越大。
在微軟安全博客貼中,研究人員寫道:“微軟云用戶賬戶攻擊年增幅高達300%
(2016年第1季度到2017年第1季度),凸顯了公司和個人實踐強口令習(xí)慣的需要。來自惡意IP地址的賬戶登錄嘗試,2017年第1季度同比增長了44%。”
微軟建議企業(yè)IT部門實行基于風(fēng)險的條件訪問策略,借此限制對受信設(shè)備和/或IP地址的訪問,緩解弱憑證/被盜憑證的風(fēng)險。
勒索軟件繼續(xù)是問題之一,盡管該最新安全情報報告中引用的威脅情報,早于今春的大規(guī)模勒索軟件爆發(fā)。5月,據(jù)稱源自NSA被盜漏洞利用的WannaCry勒索軟件,像野火燎原一樣瘋狂傳播,影響了英國醫(yī)院和全球各大公司的IT系統(tǒng)。
2017年3月,勒索軟件遭遇率0.17%的捷克共和國,最有可能遭遇到這種陰險的惡意軟件;隨后就是韓國(0.15%)和意大利(0.14%)。微軟未來的報告可能會揭示W(wǎng)AnnaCry和其他近期著名的勒索軟件攻擊是否會讓該排名重新洗牌。
完整報告:
https://www.microsoft.com/en-us/security/intelligence-report