有25%的惡意程序會(huì)濫用合法網(wǎng)絡(luò)服務(wù)，Pastebin及Telegram最受黑客青睞

有越來越多的黑客利用合法網(wǎng)絡(luò)服務(wù)來展開攻擊，于合法流量中暗藏惡意行為，以削弱傳統(tǒng)的防御能力，并提高攻擊行動(dòng)的效率，美國安全企業(yè)Recorded Future分析了全球超過400款惡意程序家族，顯示有高達(dá)25%會(huì)濫用合法網(wǎng)絡(luò)服務(wù)，其中更有68.5%使用超過一種的合法網(wǎng)絡(luò)服務(wù)。最常遭到濫用的云計(jì)算存儲(chǔ)服務(wù)為Pastebin，而最常被黑客利用的通訊程序則是Telegram。

研究人員指出，以合法網(wǎng)絡(luò)服務(wù)充當(dāng)黑客的命令暨控制（C2）基礎(chǔ)設(shè)施，好處除了閃避偵測之外，還可因簡化C2安裝程序與托管費(fèi)用來減少成本，也能依賴合法服務(wù)的可靠及穩(wěn)定性，而讓黑客趨之若鶩。

黑客以這些合法服務(wù)充當(dāng)完整的C2基礎(chǔ)設(shè)施，有時(shí)也將它們當(dāng)作取得真正C2的中繼站，或是以它們來傳送惡意負(fù)載，以及作為滲出（Exfiltration）之用。

最常利用合法網(wǎng)絡(luò)服務(wù)的惡意程序類別為資訊竊取程序，占了37%，其它依次是行動(dòng)惡意程序（17%）、RAT/木馬程序（15%）與Loaders/Droppers（14%）。

至于最常遭到濫用的服務(wù)類別前五名依次是云計(jì)算存儲(chǔ)（43%）、即時(shí)通訊（30%）、電子郵件服務(wù)（14%）、社交媒體（13%）及程序代碼存儲(chǔ)庫（9%）。在被濫用的云計(jì)算存儲(chǔ)中，居冠的是源碼分享平臺(tái)Pastebin，占了26.4%，Google Drive以24.5%緊追其后，Dropbox也以7.5%排名第三。

圖片來源_Recorded Future

在被濫用的即時(shí)通訊程序中，Telegram以高達(dá)66.7%的比例遙遙領(lǐng)先第二名的Discord（27.8%），而Firebase Cloud Messaging與Slack則各占2.8%。有趣的是，不管是利用Telegram或Discord的惡意程序，都有超過8成屬于資訊竊取程序。

對(duì)于這些濫用合法服務(wù)展開攻擊的防御上，Recorded Future建議組織可以考慮于企業(yè)網(wǎng)絡(luò)中封鎖特定服務(wù)，或是調(diào)查特定服務(wù)的使用，使用包含YARA及Sigma規(guī)則的偵測類型，實(shí)施TLS網(wǎng)絡(luò)監(jiān)聽，探取主動(dòng)威脅偵測，以及在攻擊模擬中加入濫用合法服務(wù)的場景等。