與Carbanak集團一樣的黑客使用Google云服務滲透進企業系統。專家Rob Shapland解釋了它是如何工作的，以及可以采取什么措施來阻止它。

安全研究人員最近透露，Carbanak團伙是以金融機構為目標的最臭名昭著的團體之一，它通過Google云服務來實現一些指揮和控制能力。

當嘗試危害一個擁有與大多數銀行一樣成熟的安全性的組織時，與任何已安裝的惡意軟件通信都變得困難。這是因為該組織可能通過白名單阻止未知IP地址的出站流量，并且可以檢查任何出站流量的惡意活動指標。

犯罪團伙越來越多地試圖通過使用網絡過濾和防火墻允許的非常普遍和受歡迎的服務來打敗這一點。這一現象已經在最近出現的通過使用SugarSync來幫助開發的CloudFanta惡意軟件中出現。但是，使用Google是進一步的演變，因為大多數公司都允許訪問Google云服務。阻止對Google應用的訪問將是困難的，因為它們可能是業務的一部分，或者客戶可以通過Google文檔與他們共享數據。通過使用Google服務，Carbanak團伙能夠管理和修改其惡意軟件感染，并從受害者網絡中過濾出數據。

如何減輕這種威脅

阻止這種新型云控制惡意軟件的一種方法是使用白名單或黑名單技術阻止Google云服務。然而，在許多情況下，這是不可能的，因為它直接干擾業務的運營。除非你愿意將保護擴展到所有的云服務，否則這不是一個有效的防御。同樣，試圖從合法的角度發現流向Google的惡意流量將是一項非常困難和耗時的任務；例如，檢查SSL流量需要顯著的處理能力，并且會影響網絡性能。

阻止這種攻擊的關鍵方法是防止初次感染。Carbanak團伙通過電子郵件附件傳送惡意軟件來進行感染傳播，就像絕大多數的犯罪網絡攻擊案一樣。這些電子郵件使用社會工程學技術說服用戶打開附件，在Carbanak的案例中，附件就是一個嵌入惡意軟件的Word文檔。

最重要的防線是員工的意識。每個企業都應該對此進行持續教育，以確保員工意識到打開電子郵件附件的風險。除此之外，應該定期地進行電子郵件釣魚測試來評估員工的意識，并提供響應率的指標。這些場景可以從真實的攻擊中獲取，以測試對真實威脅的防范意識。

在技術層面，更先進的犯罪團伙使用的惡意軟件將無法被殺毒和端點安全檢測到。但是，禁用Microsoft產品中的宏將防止惡意軟件運行并與Google云服務進行通信，并且應使用安全的電子郵件網關來最大限度地減少發送到員工收件箱的網絡釣魚郵件的數量。

關于Carbanak團伙手法的信息已經傳遞給Google，因此，他們現在使用的確切方法可能會被關閉。然而，與大多數安全性問題一樣，罪犯可以改變他們的手法，這就是為什么最有效的防御形式總是阻止最初的感染。