Azure 受到 Exim 蠕虫攻击，为何云软件总是遭遇勒索软件？

据外媒报道，上周五微软向 Azure 用户发送了一份警告通知，称有一种 Linux 蠕虫正在通过 Exim 服务器传播，也感染了一些 Azure 基础设施。

Azure 基础设施受到 Exim 蠕虫攻击

据 Cybereason 团队的说明：“该蠕虫利用 CVE-2019-10149 漏洞感染了 Exim 电子邮件服务器，这是一种安全缺陷，可以让攻击者执行远程命令并接管未打补丁的系统。”蠕虫利用漏洞接管服务器，然后扫描互联网上的其他服务器，并尝试感染它们，在当前主机上删除加密货币挖掘程序。

蠕虫的目标 Exim 服务器是一种运行在基于 Linux 电子邮件服务器上的软件，用于将电子邮件从发件人转发给收件人。

上周五，微软表示 Azure 基础设施受到该蠕虫的攻击，不过，Azure 基础设施可以通过适当的配置来限制蠕虫的传播，蠕虫无法通过扫描互联网和复制自己来自我传播，但是被黑客攻击的 Azure 机器仍然会受到加密货币挖掘者的感染。

据了解，黑客利用相同的 Exim 漏洞可以在任何时候删除 Azure 虚拟机上的其他恶意软件。Azure Incident Response 经理 JR Aquion 表示：“如今，蠕虫正在积极利用这一漏洞进行活动，所以微软安全响应中心(MSRC)敦促客户遵守 Azure 安全最佳实践和模式，修补或限制对运行受影响版本的 Exim 虚机网络访问。”

据悉，Exim 的 4.87 版本到 4.91 版本很容易受到攻击，所以用户最好将运行在 Azure 机器上的 Exim 升级到 4.92。如果 Azure 系统已经被感染，一定要清除该系统，重新安装或者从之前的备份中恢复。

为什么基于云的软件总是会受到攻击？

基于云的应用程序因其成本效率和数据存储更经济，受到了绝大多数企业的欢迎，例如被访问、发送和存储文件的 Microsoft Office 365、谷歌 Drive 和 Dropbox 等平台，用于团队讨论和协作的内容消息应用程序，如 Slack。

虽然每种云解决方案都宣称其自带“安全性”，但是使用云应用程序，用户数据仍然会面临风险。因为大多数云应用程序都是围绕身份设计的，即谁被授予访问云服务的权限，以及访问哪些内容，它们不是用来识别和阻止勒索软件的。

勒索软件通常是通过社会工程活动(如电子邮件钓鱼或欺骗)渗透到云应用中，欺骗员工打开恶意附件或链接，一旦打开，员工的设备就会受到攻击，所有电脑文件都被锁定，包括与公司云应用程序同步的文件，如 Dropbox、OneDrive 或谷歌 Drive directory。

由于基于云的目录信任员工身份，受感染的文件会自动上传到云上，并与其他员工的计算机同步，从而导致更多的系统被锁定。勒索软件在企业中传播的容易程度和速度令许多中小企业感到震惊，尤其是那些依赖于云应用程序提供安全性的中小企业。

更为恐怖的是，有更多的攻击组织开始意识到攻击中小企业比大型企业更容易，也更省时，只有入侵了足够多的小型企业，那就等同于攻击了一个大型企业。更容易被攻击的企业一般具有以下特征：缺乏安全协议、缺少 IT 人员或技术能力薄弱，采用了云应用程序等。

如何避免被攻击？

防患于未然永远是上策，所以避免勒索软件侵害的最佳途径就是防止勒索事件的发生。所以，企业在这方面要多做一些功课，采取措施降低风险，增加安全措施，弥补云应用程序留下的漏洞，并实时扫描电子邮件中的恶意信息。同时，也要提高员工的防范意识，例如培训员工遇到可疑事件应该怎么办。

当然，预防措施无法百分百保证不受到攻击，所以还是要做备份工作。这样，即使被攻击了，我们也可以利用备份恢复到攻击前的状态，而无需承担丢失所有数据的风险。

联邦调查局提出；“如果受到了攻击，首要原则是不要付钱给袭击者，第二要从中吸取教育。”小企业在受到攻击时，要采取措施确定攻击是如何发生的、从何处发起、如何传播的，然后在内部共享这些信息。另外，鼓励无个人责任的完全公开文化，允许公开讨论、分享攻击事件，并从中吸取教训，以防止下一次攻击。

参考链接

https://www.information-management.com/opinion/cloud-based-apps-are-highly-vulnerable-to-ransomware-attacks