在過去六個月當中,Amazon Web Services在云托管惡意軟件攻擊活動中的參與比例已經增加了一倍多。
這一結論來自NTT下屬子公司Solutionary,其在上周二發布的2014年第二季度安全工程研究團隊(簡稱SERT)報告當中公布了這項消息。
根據信息安全研究人員們的說明,在本次調查所涵蓋的全球十大網絡服務供應商以及托管供應商當中,由Amazon基礎設施所托管的惡意網站數量發生激增、其具體比例由2013年第四季度的16%上漲到今年第二季度的41%。
與此同時,知名歐洲托管服務供應商OVH所承載的惡意站點比例也由10%提升到了13%;Akamai由去年的9%增加到如今的12%;而谷歌則由6%上漲至9%。除此之外,GoDaddy的惡意軟件占比卻由去年第四季度的14%下降到現在的2%。
柱狀圖所示為Solutionary針對各大服務供應商作出的惡意軟件站點托管比例,其中藍色為2014年第二季度狀況、綠色則代表2013年第四季度。
這這已經不是Amazon第一次被邪惡勢力用來大規模托管惡意軟件了——Solutionary曾在2013年第四季度的SERT報告中得出過同樣的結論,而來自卡巴斯基的研究人員們也曾于2011年發現Amazon Web Services被用于托管臭名昭著的SpyEye惡意軟件。
部分原因在于,Amazon擁有極為夸張的基礎設施規模以及作為云服務的旺盛人氣,此外其極為低廉的使用成本同樣成為重要的吸引力因素。這意味著任何想要搞鬼的家伙都能從犯罪分子手中買下服務器鏡像,并將其部署在AWS當中、進而構建起一套用于散布惡意軟件的網站體系。
“網絡服務的云實例在Amazon、GoDaddy以及其它所有主流托管服務供應商的平臺中都能輕松完成配置,”Solutionary公司安全專家Chad Kahl在本周三接受采訪時解釋道。
“當大家開始接觸到地下論壇——包括那些俄羅斯論壇或者中國論壇——那些犯罪分子出售的并不是什么Zeus惡意軟件包,他們交給買家的其實是一整套命令與控制基礎設施、一個等待配置的釣魚網站以及一個由下載驅動的網站。”
“這些罪惡根源提供的其實屬于犯罪即服務,”他解釋道。“這是一套以大規模態勢加以運行的腳本集合。”
各大主流服務供應商難以將惡意腳本阻隔在其服務之外的另一大原因在于,犯罪分子們通常會在不同云環境之間快速切換,Kahl指出。“大部分惡意軟件運營者會同時采用來自不同國家的不同托管供應商、互聯網服務供應商以及代理主機。”
托管在公有云中的病毒、木馬與其它惡意軟件的數字指紋已經得到掌握并廣泛流傳在信息安全領域當中,而這些寶貴資料足以用于識別惡意的二進制文件,Kahl指出。
“問題在于,這些供應商是否有能力掃描基礎設施當中的一切內容?”他問道。
Amazon、GoDaddy、谷歌以及其它各企業可能已經開始向相關工具投入研發資金,旨在利用這些方案將托管文件與已知惡意二進制文件數據庫進行高效比對,他表示。
“當我們談到Amazon或者GoDaddy這樣的大廠商時,他們無疑會在架構與時間方面加大投入,從而通過定期掃描了解并控制當前正處于運行狀態的數據內容,并最終保證惡意軟件不會危害到其他使用者,”這位研究人員表示。
而且已經有一些廠商真正開始作出努力,根據我們掌握的情況,微軟就已經著手推動一系列針對惡意軟件的處理項目。與之類似,谷歌的全新Zero項目團隊也把搶在惡意人士發現并利用之前將安全漏洞消滅在搖籃中作為自己的核心任務。
在Amazon方面,一位發言人告訴我們:“AWS利用大量緩解性技術、從人工以及自動化角度著手,希望能夠避免該服務遭到濫用。”
“我們的自動化系統已經落實到位,能夠在攻擊活動影響到我們的基礎設施之前將其揪出并屏蔽掉。我們的使用情況審核條款非常明確,而且一旦發現濫用、我們會迅速采取行動并將其關閉。如果各企業發現源自AWS的惡意活動,請立即與我們的[email protected]郵箱進行聯系。”
京公網安備 11010502049343號