8 月 15 日,第三届中国互联网安适领袖峰会(CSS2017)在北京国家会议中心举行。腾讯云鼎实验室负责人Killer进行了主题为《云鼎视点:公有云恶意代码趋势解读》的分享,以下为Killer主要分享内容:
随着越来越多的企业逐步把自身IT基础设施办事迁移到云上,云上的安适风险趋势到底如何?近期重大勒索事件频频发生,企业该如何去有效提升自身的安适防护能力?在这里,我想跟大家分享一下我们云鼎实验室对云上安适风险的趋势不雅观察,以及对企业用户的一些建议。
一、云上安适风险趋势
数据库类办事端口风险高。端口就是办事器的入口,入侵者往往使用扫描器对目标机器进行端口扫描,然后实施攻击和入侵。在去年和本年年初,爆出了多起企业数据库办事被加密勒索事件,需要支付比特币才可以获得数据解密;本年 3 月 1 号,我们云鼎实验室发布的《MySQL 成勒索新目标,数据办事基线安适问题迫在眉睫》就对这些事件进行了分析,主要是企业在在公网上开放了MySQL、Redis、Eelasticsearch等数据办事端口,同时由于存在弱密码或者没有密码,黑客可以直接拜候,导致被黑客入侵勒索。
漏洞是造成入侵的主要途径。按照我们对被入侵机器的入侵原因分析结果来看,漏洞是造成办事器被入侵的主要途径,约超过60%的入侵事件跟漏洞有关。而国内企业,对漏洞的修复情况是非常不抱负的。方程式漏洞被公布以后,我们针对MS17- 010 漏洞的修复进展进行监测发现,某企业在发作一个月后只对其中约60%的漏洞机器进行了修复,两个月后,还有24%的漏洞机器并未修复,这样就给入侵者提供了可乘之机。而在小型企业,整体修复比例往往还要低得多。
密码破解攻击呈现常态化。相对于Web应用漏洞,暴力破解的利用方式比较简单,成功后可以直接获得目标办事器权限,从而进一步进行植入木马、后门等操作,整个过程通过自动化程序实现,是一种成本极低的攻击方式。而据公开资料说,某IDC上日均遭受破解攻击 5 万次摆布,腾讯云上每台机器日均被攻击 2759 次。云主机相对遭受的破击攻击次数少,这主要归功于云平台厂商在网络出口对一些恶意的破解行为做了自动化拦截。
高危漏洞的出现,容易造成木马病毒感染高峰。NSA漏洞包公开Windows漏洞期间,木马检出量先后发生了两次发作。当前云上监测到的木马文件主要分为两大类型,Shell(占比80%)及二进制木马(占比20%)。Shell主要通过Web应用漏洞上传写入,主要在入侵过程起到跳板的作用,便利进一步进行提权、植入恶意文件等操作;而二进制木马主要带有挖矿、端口扫描、DDoS等恶意行为,是整个入侵的最终目标植入。目前,利用NSA漏洞包漏洞传播的病毒最多的并不是WannaCry,而是挖矿病毒。而WebShell已经具有很强的免杀特性,,建站工具弱口令问题则是WebShell的上传主要来源。
办事器上安适软件使用率偏低。目前,云上只有约7%的办事器使用了安适软件,整体使用比例偏低,这里面,其中有很大一部分的用户使用了PC安适防护软件来解决办事器安适防护需求,说明目前国内的办事器安适防护软件在市场上影响力不大,也在必然程度上反映国内的办事器安适软件市场值得继续大力投入。
二、云上更安适
企业面临的整体安适环境并不乐不雅观:漏洞仍然是造成入侵的主要途径;黑客也在逐步升级本身的技术,一些低成本高收益的攻击逐渐自动化,例如密码破解攻击呈现常态化趋势;随着比特币这类匿名电子货币的兴起,使得黑客变现的主要方式从劫持肉鸡流量进行DDoS变现,酿成了加密勒索。
但前段时间,在WannaCry和暗云事件的发作中,我们对云上用户和普通用户的感染风险进行了对比。云上更安适的显著统计差异,坚定了我继续深耕云安适的决心。
WannaCry勒索病毒的发作,使得全球 150 个国家受到了影响,在我们国内也有 10 万摆布的用户中招。据统计,全球因此造成的损失达 80 亿美元,而且深入影响到金融,能源,医疗等众多行业,造成严重的危机办理问题。部分企业的应用系统和数据库文件被加密后,导致无法正常工作。然而在云上的企业用户,因为及时做了大量的预警和防护工作,被感染的比例很小。
而近年来感染用户最多的木马之一,暗云,它的功能比较复杂,通过修改多个游戏微端,采用多种技术方案逃开杀软检测,还自掏腰包买流量,推广感染的游戏微端,更新频繁,影响用户数百万。病毒团队通过各种手段获取暴利,更发动针对国内多家云办事商的DDoS攻击。我们云鼎实验室在第一时间发现并确认了样本关联性,并联合腾讯电脑管家和多个安适合作伙伴进行全网清理,有效降低了暗云木马的影响。
三、对企业用户提四点安适建议