據外媒報道,上週五微軟向Azure用戶發送了一份警告通知,稱有一種Linux蠕蟲正在通過Exim服務器傳播,也感染了一些Azure基礎設施。
Azure基礎設施受到Exim蠕蟲攻擊
據Cybereason團隊的說明:“該蠕蟲利用CVE-2019-10149漏洞感染了Exim電子郵件服務器,這是一種安全缺陷,可以讓攻擊者執行遠程命令並接管未打補丁的系統。”蠕蟲利用漏洞接管服務器,然後掃描互聯網上的其他服務器,並嘗試感染它們,在當前主機上刪除加密貨幣挖掘程序。
蠕蟲的目標Exim服務器是一種運行在基於Linux電子郵件服務器上的軟件,用於將電子郵件從發件人轉發給收件人。
上週五,微軟表示Azure基礎設施受到該蠕蟲的攻擊,不過,Azure基礎設施可以通過適當的配置來限制蠕蟲的傳播,蠕蟲無法通過掃描互聯網和複製自己來自我傳播,但是被黑客攻擊的Azure機器仍然會受到加密貨幣挖掘者的感染。
據瞭解,黑客利用相同的Exim漏洞可以在任何時候刪除Azure虛擬機上的其他惡意軟件。Azure Incident Response經理JR Aquion表示:“如今,蠕蟲正在積極利用這一漏洞進行活動,所以微軟安全響應中心(MSRC)敦促客戶遵守Azure安全最佳實踐和模式,修補或限制對運行受影響版本的Exim虛機網絡訪問。”
據悉,Exim的4.87版本到4.91版本很容易受到攻擊,所以用戶最好將運行在Azure機器上的Exim升級到4.92。如果Azure系統已經被感染,一定要清除該系統,重新安裝或者從之前的備份中恢復。
爲什麼基於雲的軟件總是會受到攻擊?
基於雲的應用程序因其成本效率和數據存儲更經濟,受到了絕大多數企業的歡迎,例如被訪問、發送和存儲文件的Microsoft Office 365、谷歌Drive和Dropbox等平臺,用於團隊討論和協作的內容消息應用程序,如Slack。
雖然每種雲解決方案都宣稱其自帶“安全性”,但是使用雲應用程序,用戶數據仍然會面臨風險。因爲大多數雲應用程序都是圍繞身份設計的,即誰被授予訪問雲服務的權限,以及訪問哪些內容,它們不是用來識別和阻止勒索軟件的。
勒索軟件通常是通過社會工程活動(如電子郵件釣魚或欺騙)滲透到雲應用中,欺騙員工打開惡意附件或鏈接,一旦打開,員工的設備就會受到攻擊,所有電腦文件都被鎖定,包括與公司雲應用程序同步的文件,如Dropbox、OneDrive或谷歌Drive directory。
由於基於雲的目錄信任員工身份,受感染的文件會自動上傳到雲上,並與其他員工的計算機同步,從而導致更多的系統被鎖定。勒索軟件在企業中傳播的容易程度和速度令許多中小企業感到震驚,尤其是那些依賴於雲應用程序提供安全性的中小企業。
更爲恐怖的是,有更多的攻擊組織開始意識到攻擊中小企業比大型企業更容易,也更省時,只有入侵了足夠多的小型企業,那就等同於攻擊了一個大型企業。更容易被攻擊的企業一般具有以下特徵:缺乏安全協議、缺少IT人員或技術能力薄弱,採用了雲應用程序等。
如何避免被攻擊?
防患於未然永遠是上策,所以避免勒索軟件侵害的最佳途徑就是防止勒索事件的發生。所以,企業在這方面要多做一些功課,採取措施降低風險,增加安全措施,彌補雲應用程序留下的漏洞,並實時掃描電子郵件中的惡意信息。同時,也要提高員工的防範意識,例如培訓員工遇到可疑事件應該怎麼辦。
當然,預防措施無法百分百保證不受到攻擊,所以還是要做備份工作。這樣,即使被攻擊了,我們也可以利用備份恢復到攻擊前的狀態,而無需承擔丟失所有數據的風險。
聯邦調查局提出;“如果受到了攻擊,首要原則是不要付錢給襲擊者,第二要從中吸取教育。”小企業在受到攻擊時,要採取措施確定攻擊是如何發生的、從何處發起、如何傳播的,然後在內部共享這些信息。另外,鼓勵無個人責任的完全公開文化,允許公開討論、分享攻擊事件,並從中吸取教訓,以防止下一次攻擊。