8 月 15 日�����,第三屆中國互聯(lián)網(wǎng)安適領(lǐng)袖峰會(CSS2017)在北京國家會議中心舉行�����。騰訊云鼎實(shí)驗(yàn)室負(fù)責(zé)人Killer進(jìn)行了主題為《云鼎視點(diǎn):公有云惡意代碼趨勢解讀》的分享�����,以下為Killer主要分享內(nèi)容:
隨著越來越多的企業(yè)逐步把自身IT基礎(chǔ)設(shè)施辦事遷移到云上���,云上的安適風(fēng)險趨勢到底如何�?近期重大勒索事件頻頻發(fā)生�����,企業(yè)該如何去有效提升自身的安適防護(hù)能力��?在這里�,我想跟大家分享一下我們云鼎實(shí)驗(yàn)室對云上安適風(fēng)險的趨勢不雅觀察,以及對企業(yè)用戶的一些建議。
一�、云上安適風(fēng)險趨勢
數(shù)據(jù)庫類辦事端口風(fēng)險高。端口就是辦事器的入口��,入侵者往往使用掃描器對目標(biāo)機(jī)器進(jìn)行端口掃描��,然后實(shí)施攻擊和入侵����。在去年和本年年初,爆出了多起企業(yè)數(shù)據(jù)庫辦事被加密勒索事件�����,需要支付比特幣才可以獲得數(shù)據(jù)解密�;本年 3 月 1 號,我們云鼎實(shí)驗(yàn)室發(fā)布的《MySQL 成勒索新目標(biāo)��,數(shù)據(jù)辦事基線安適問題迫在眉睫》就對這些事件進(jìn)行了分析��,主要是企業(yè)在在公網(wǎng)上開放了MySQL���、Redis�����、Eelasticsearch等數(shù)據(jù)辦事端口�,同時由于存在弱密碼或者沒有密碼����,黑客可以直接拜候,導(dǎo)致被黑客入侵勒索�����。
漏洞是造成入侵的主要途徑����。按照我們對被入侵機(jī)器的入侵原因分析結(jié)果來看,漏洞是造成辦事器被入侵的主要途徑�����,約超過60%的入侵事件跟漏洞有關(guān)���。而國內(nèi)企業(yè)����,對漏洞的修復(fù)情況是非常不抱負(fù)的���。方程式漏洞被公布以后����,我們針對MS17- 010 漏洞的修復(fù)進(jìn)展進(jìn)行監(jiān)測發(fā)現(xiàn),某企業(yè)在發(fā)作一個月后只對其中約60%的漏洞機(jī)器進(jìn)行了修復(fù)�,兩個月后,還有24%的漏洞機(jī)器并未修復(fù)�����,這樣就給入侵者提供了可乘之機(jī)�����。而在小型企業(yè)�,整體修復(fù)比例往往還要低得多。
密碼破解攻擊呈現(xiàn)常態(tài)化�����。相對于Web應(yīng)用漏洞�����,暴力破解的利用方式比較簡單�,成功后可以直接獲得目標(biāo)辦事器權(quán)限�,從而進(jìn)一步進(jìn)行植入木馬���、后門等操作����,整個過程通過自動化程序?qū)崿F(xiàn)�����,是一種成本極低的攻擊方式��。而據(jù)公開資料說����,某IDC上日均遭受破解攻擊 5 萬次擺布�,騰訊云上每臺機(jī)器日均被攻擊 2759 次。云主機(jī)相對遭受的破擊攻擊次數(shù)少�����,這主要?dú)w功于云平臺廠商在網(wǎng)絡(luò)出口對一些惡意的破解行為做了自動化攔截���。
高危漏洞的出現(xiàn)����,容易造成木馬病毒感染高峰。NSA漏洞包公開Windows漏洞期間��,木馬檢出量先后發(fā)生了兩次發(fā)作�����。當(dāng)前云上監(jiān)測到的木馬文件主要分為兩大類型���,Shell(占比80%)及二進(jìn)制木馬(占比20%)�����。Shell主要通過Web應(yīng)用漏洞上傳寫入����,主要在入侵過程起到跳板的作用�,便利進(jìn)一步進(jìn)行提權(quán)、植入惡意文件等操作��;而二進(jìn)制木馬主要帶有挖礦�����、端口掃描、DDoS等惡意行為��,是整個入侵的最終目標(biāo)植入��。目前����,利用NSA漏洞包漏洞傳播的病毒最多的并不是WannaCry,而是挖礦病毒��。而WebShell已經(jīng)具有很強(qiáng)的免殺特性����,��,建站工具弱口令問題則是WebShell的上傳主要來源����。
辦事器上安適軟件使用率偏低。目前���,云上只有約7%的辦事器使用了安適軟件�����,整體使用比例偏低��,這里面��,其中有很大一部分的用戶使用了PC安適防護(hù)軟件來解決辦事器安適防護(hù)需求��,說明目前國內(nèi)的辦事器安適防護(hù)軟件在市場上影響力不大���,也在必然程度上反映國內(nèi)的辦事器安適軟件市場值得繼續(xù)大力投入��。
二����、云上更安適
企業(yè)面臨的整體安適環(huán)境并不樂不雅觀:漏洞仍然是造成入侵的主要途徑���;黑客也在逐步升級本身的技術(shù)��,一些低成本高收益的攻擊逐漸自動化����,例如密碼破解攻擊呈現(xiàn)常態(tài)化趨勢����;隨著比特幣這類匿名電子貨幣的興起��,使得黑客變現(xiàn)的主要方式從劫持肉雞流量進(jìn)行DDoS變現(xiàn)����,釀成了加密勒索�����。
但前段時間�����,在WannaCry和暗云事件的發(fā)作中�����,我們對云上用戶和普通用戶的感染風(fēng)險進(jìn)行了對比�����。云上更安適的顯著統(tǒng)計差異��,堅定了我繼續(xù)深耕云安適的決心���。
WannaCry勒索病毒的發(fā)作��,使得全球 150 個國家受到了影響��,在我們國內(nèi)也有 10 萬擺布的用戶中招�。據(jù)統(tǒng)計�����,全球因此造成的損失達(dá) 80 億美元�����,而且深入影響到金融����,能源,醫(yī)療等眾多行業(yè)�����,造成嚴(yán)重的危機(jī)辦理問題��。部分企業(yè)的應(yīng)用系統(tǒng)和數(shù)據(jù)庫文件被加密后����,導(dǎo)致無法正常工作�。然而在云上的企業(yè)用戶��,因?yàn)榧皶r做了大量的預(yù)警和防護(hù)工作��,被感染的比例很小�。
而近年來感染用戶最多的木馬之一,暗云���,它的功能比較復(fù)雜���,通過修改多個游戲微端,采用多種技術(shù)方案逃開殺軟檢測�����,還自掏腰包買流量����,推廣感染的游戲微端��,更新頻繁���,影響用戶數(shù)百萬����。病毒團(tuán)隊(duì)通過各種手段獲取暴利,更發(fā)動針對國內(nèi)多家云辦事商的DDoS攻擊�。我們云鼎實(shí)驗(yàn)室在第一時間發(fā)現(xiàn)并確認(rèn)了樣本關(guān)聯(lián)性,并聯(lián)合騰訊電腦管家和多個安適合作伙伴進(jìn)行全網(wǎng)清理��,有效降低了暗云木馬的影響��。
三�、對企業(yè)用戶提四點(diǎn)安適建議
