信息來(lái)源:安全牛
微軟放出了壞消息���,公司企業(yè)在云端找到安全天堂的美夢(mèng)破滅�����。如今���,IT部門不斷增加的網(wǎng)絡(luò)安全問(wèn)題列表中��,可以添加上武器化云虛擬機(jī)這一條了��。
微軟日前發(fā)布了其安全情報(bào)報(bào)告第22卷��。該報(bào)告經(jīng)由2017年第1季度收集到的威脅數(shù)據(jù)編譯而成��。毫無(wú)意外����,攻擊者繼續(xù)跟著目標(biāo)的腳步走���,而如今,戰(zhàn)場(chǎng)延伸到了云端�����。
在云武器化威脅場(chǎng)景中��,攻擊者通過(guò)入侵控制一個(gè)或多個(gè)虛擬機(jī)����,在云基礎(chǔ)設(shè)施里建立橋頭堡��。然后�����,攻擊者便可利用這些虛擬機(jī)發(fā)起攻擊�����,比如針對(duì)其他虛擬機(jī)的暴力破解攻擊�����,用于網(wǎng)絡(luò)釣魚(yú)郵件攻擊的垃圾郵件行動(dòng)����、端口掃描之類的新攻擊目標(biāo)偵察行動(dòng)����,以及其他惡意活動(dòng)。
第1季度里�����,微軟Azure安全中心服務(wù)見(jiàn)證了很多出站攻擊嘗試,主要是為了與惡意IP地址建立通信(51%)和進(jìn)行遠(yuǎn)程桌面協(xié)議(RDP)暴力破解攻擊嘗試�����。攻擊者還試圖使用基于云的虛擬機(jī)來(lái)群發(fā)垃圾郵件(19%)��,進(jìn)行端口掃描探索(3.7%)和嘗試強(qiáng)行繞過(guò)SSH防護(hù)��。
虛擬機(jī)被攻破后����,往往會(huì)“回連”命令與控制服務(wù)器(C2)。絕大多數(shù)此類連接嘗試都連向了來(lái)自中國(guó)的惡意IP地址(89%)���,其次就是美國(guó)的IP地址(4.2%)�����。
至于對(duì)微軟Azure的入站攻擊,大部分源自中國(guó)(35.1%)和美國(guó)(32.5%)����,韓國(guó)雖然排第三,比例卻遠(yuǎn)小于中美(3.1%)���。
微軟安全研究人員警告道:攻擊者已不滿足于用勒索軟件鎖定用戶的PC����,他們對(duì)個(gè)人和公司云賬戶的興趣越來(lái)越大。
在微軟安全博客貼中���,研究人員寫(xiě)道:“微軟云用戶賬戶攻擊年增幅高達(dá)300%
(2016年第1季度到2017年第1季度)��,凸顯了公司和個(gè)人實(shí)踐強(qiáng)口令習(xí)慣的需要���。來(lái)自惡意IP地址的賬戶登錄嘗試,2017年第1季度同比增長(zhǎng)了44%�����?��!?
微軟建議企業(yè)IT部門實(shí)行基于風(fēng)險(xiǎn)的條件訪問(wèn)策略�����,借此限制對(duì)受信設(shè)備和/或IP地址的訪問(wèn)�����,緩解弱憑證/被盜憑證的風(fēng)險(xiǎn)��。
勒索軟件繼續(xù)是問(wèn)題之一����,盡管該最新安全情報(bào)報(bào)告中引用的威脅情報(bào),早于今春的大規(guī)模勒索軟件爆發(fā)���。5月���,據(jù)稱源自NSA被盜漏洞利用的WannaCry勒索軟件,像野火燎原一樣瘋狂傳播��,影響了英國(guó)醫(yī)院和全球各大公司的IT系統(tǒng)��。
2017年3月�����,勒索軟件遭遇率0.17%的捷克共和國(guó)�����,最有可能遭遇到這種陰險(xiǎn)的惡意軟件���;隨后就是韓國(guó)(0.15%)和意大利(0.14%)�����。微軟未來(lái)的報(bào)告可能會(huì)揭示W(wǎng)AnnaCry和其他近期著名的勒索軟件攻擊是否會(huì)讓該排名重新洗牌��。
完整報(bào)告:
https://www.microsoft.com/en-us/security/intelligence-report
