研究者发现借Google Code等服务传播恶意软件的恶意软件编写者有显著增加。安全研究人员在本周的黑帽大会上称,恶意软件编写者正在增加商业文件托管网站和云服务的使用,并借机传播恶意软件。
以往,恶意软件编写者是通过自己的网站传播恶意代码。
但是由于安全厂商们检测能力的提升,这些网站也大多被列入黑名单,黑客们正逐步利用合法的托管网站传播恶意软件。这种技巧的使用已经超过两年,但现在有愈演愈烈之势。
通常,合法网站的站长不一定能扫描到所有托管的内容,这样攻击者就可以偷偷把恶意代码放到网站上,ZSCaler负责研究业务的副总裁Michael Sutton,ZSCaler是一家为企业提供云安全服务的厂商。
从合法网站传播的恶意代码使其更容易穿越企业的防线。安全厂商们也不太可能将合法托管的服务列入黑名单,这样一来,所托管的恶意内容残留的时间就更长,他说。
Zscaler称,他听说了Dropbox上发现恶意文件的报告,但是这些消息已经被删除了。
Sutton指出,最近出现的一些安全事故是由攻击者在Google Code和Dropbox上传播恶意代码引起,而这也是恶意代码的传播趋势。Zscaler的博客哈桑列出了Google Code上托管的三十多个恶意文件,其中还包含软件开发工具。
这传递给IT经理们一个信息:不要被安全的表象所迷惑,Sutton说。
“攻击者们正开始利用托管服务”来放置恶意代码,他说。“以前,攻击者会搭建自己的服务器,”用于托管恶意软件。“而后,我们看着他们感染合法的第三方团体。现在,他们开始使用托管服务。他们不再为恶意软件的托管付费,而且被列入黑名单的几率也降低了。”
与此同时,企业级云托管服务商Firehost也观察到,来自合法Web托管服务的Web应用攻击在增加,该公司CEO Chris Drake称。
在最新的季度安全回顾中,Firehost观察到云服务供应商网络中的SQL注入攻击,目录遍历攻击和其他Web应用攻击都出现了显著增加,Drake说。
注册新客户的时候,云供应商的验证过程都比较薄弱,这样攻击者有机会用虚假信息创建帐户。然后他们会利用这些帐户部署和管理云架构中运行的僵尸网络,他说。
在2013年第二季度,Firehost用于保护客户免受恶意攻击的IP过滤系统拦截了约130万次攻击。来自云服务公司IP地址的攻击显著上升,Drake说。
