云恶意软件类型以及如何防御

恶意软件是我们必须面对的现实，而且恶意软件不太可能很快消失。

我们每天都需要与蠕虫、病毒、间谍软件和其他行恶意软件作斗争，而云恶意软件是我们需要面对的又一种类别。这种恶意软件并不是新鲜事，它已经发展十多年。例如，SpyEye银行木马早在2011年就托管在亚马逊简单存储服务存储桶中。云安全提供商Netskope报告称，68%的恶意软件下载来自云应用程序。

让我们来看看云恶意软件的类型以及如何防御它们。

云恶意软件类型

围绕云恶意软件的所有讨论都集中在两个特定的类别：

1. 使用云进行交付和通信（命令和控制）的恶意软件;

2. 明确针对云资产和资源的恶意软件。

现代恶意软件通过各种方式通过云服务获得立足点。首先，很多类型的恶意软件都托管在云存储环境中，无论是在专用服务中，例如Dropbox或Box中，还是在IaaS或PaaS云中的存储节点中。这些公开的存储帐户或节点通常位于众所周知的云服务提供商（CSP）环境中，以最大程度地减少内容筛选软件阻止托管域的可能性。特别是勒索软件，通常被认为是云托管威胁。

其次，很多恶意软件变体将其命令和控制基础设施托管在云中，因为大多数企业不会明确阻止流向AWS，Azure，Google云平台和其他大型CSP的流量。

第三，某些类型的恶意软件可能用于DDoS活动，然后使用攻击者控制的云托管系统向受害者发送大量流量。这些攻击也可能是云租户帐户中的系统受感染的结果。

同时，恶意软件的新变体以云服务和工作负载为目标。其中最着名的是加密货币矿工，他们主要瞄准基于云的VM和容器工作负载。这些类型的恶意软件会扫描公开的API，以确定是否可以利用其中任何一个来允许在工作负载上安装和执行。一旦完成，攻击者就会挖掘加密货币以获取利润。

趋势科技报告称，各种攻击者团伙会攻击暴露的云资产和服务，然后利用各种技术技术挖掘加密货币，例如使用SSH暴力破解、远程利用易受攻击的服务，以及通过公开的API发出命令等。

其他以云为中心的恶意软件包括将恶意文件嵌入到VM模板中以继续传播和持久化-这种技术在加密采矿攻击者团伙TeamTNT中的攻击活动多次出现。另一种常见的云恶意软件涉及通过云提供商市场中受感染的插件和模块进行攻击-这种技术可用于从SaaS部署中窃取数据或嵌入到PaaS和IaaS帐户中。这些攻击有无数种变体。

如何对抗云恶意软件

幸运的是，我们有办法可以检测和预防云恶意软件。企业应执行以下操作：

• 加密存储在云端的所有数据。这有助于防止数据泄露或感染-当基于云的恶意软件瞄准帐户和工作负载时。
• 要求对所有云用户帐户进行强身份验证。强密码和多因素身份验证有助于防止云帐户受到恶意软件活动的攻击。
• 备份云工作负载和数据。理想情况下，如果可能的话，将工作负载映像和数据存储备份并复制到单独的帐户或订阅中。这有助于缓解各种基于云的恶意软件技术。
• 部署基于网络和身份的隔离和分段。 现在有很多面向云的分段策略可用，企业应尽可能减少特定帐户或网络子网内的可攻击外围应用。
• 部署网络行为监控工具和服务。 所有主要的IaaS云都向租户提供网络流数据。可以对这些信息进行汇总和分析，以发现横向移动和指挥与控制流量的指标。
• 使用云提供商工具和检测技术。除了记录事件并将该数据发送到中央分析平台之外，有些云服务提供商还提供恶意软件检测技术，可以发现恶意软件感染或行为的指标。例如，微软在其很多微软365服务中提供恶意软件检测功能。虽然云恶意软件可能会在可预见的未来继续存在，但好消息是：我们正在越来越有效地对抗云恶意软件。