《電子技術(shù)應(yīng)用》
您所在的位置:首頁(yè) > 通信與網(wǎng)絡(luò) > 業(yè)界動(dòng)態(tài) > 趨勢(shì)科技:惡意組織瞄準(zhǔn)阿里云ECS實(shí)例進(jìn)行加密貨幣挖礦

趨勢(shì)科技:惡意組織瞄準(zhǔn)阿里云ECS實(shí)例進(jìn)行加密貨幣挖礦

2021-11-16
來(lái)源:網(wǎng)空閑話(huà)
關(guān)鍵詞: 阿里云

  據(jù)趨勢(shì)科技研究人員11月15日發(fā)布的博文,,惡意威脅行為者正在利用阿里云ECS實(shí)例中的功能以進(jìn)行門(mén)羅幣加密劫持,。網(wǎng)絡(luò)犯罪分子的目標(biāo)是阿里巴巴彈性計(jì)算服務(wù)(ECS)實(shí)例,,禁用某些安全功能以進(jìn)一步實(shí)現(xiàn)他們的加密劫持目標(biāo)。阿里云提供了一些獨(dú)特的選項(xiàng),,使其成為攻擊者極具吸引力的目標(biāo),。

  眾所周知,,威脅行為者正在積極利用配置錯(cuò)誤的linux服務(wù)器,,不管它們是運(yùn)行在本地還是在云中,。這些被泄露的設(shè)備大多用于加密劫持目的,,主要用于挖掘數(shù)字貨幣Monero,。一個(gè)臭名昭著的例子是TeamTNT,它是第一批將重點(diǎn)轉(zhuǎn)向云服務(wù)的黑客組織之一,。

  加密劫持戰(zhàn)場(chǎng)由Kinsing和TeamTNT等多個(gè)威脅參與者共享,。它們?cè)诖a中共享的兩個(gè)共同特征是刪除也在挖掘加密貨幣的競(jìng)爭(zhēng)參與者,并禁用在受害機(jī)器中發(fā)現(xiàn)的安全功能,。這為他們提供了相對(duì)于被劫持資源的優(yōu)勢(shì),,例如針對(duì)華為云確定的先進(jìn)系統(tǒng)衛(wèi)生設(shè)施的例子。

  趨勢(shì)科技將重點(diǎn)關(guān)注在多個(gè)有效負(fù)載中發(fā)現(xiàn)的一個(gè)常見(jiàn)功能:阿里云服務(wù)提供商(CSP)內(nèi)部功能的禁用,。研究人員還分析了多個(gè)威脅行為者和惡意程序集中在阿里云上的可能原因,,以及這些非法挖掘活動(dòng)對(duì)阿里云用戶(hù)的影響。

  趨勢(shì)科技在博客發(fā)表之前,,已經(jīng)通過(guò)阿里云團(tuán)隊(duì)給出的聯(lián)系方式與他們?nèi)〉昧寺?lián)系,,正在等待阿里云方面對(duì)此問(wèn)題的回應(yīng)。

  阿里云的ECS

  阿里云的彈性計(jì)算服務(wù)(ECS)實(shí)例自帶安全代理,。因此,,威脅參與者試圖在入侵利用時(shí)卸載它。這并不奇怪,,因?yàn)檫^(guò)去看到過(guò)類(lèi)似的有效載荷,。然而,這次趨勢(shì)科技的研究人員在惡意軟件中發(fā)現(xiàn)了一個(gè)特定的代碼,,它創(chuàng)建了防火墻規(guī)則,,丟棄來(lái)自阿里云內(nèi)部區(qū)域和地區(qū)的IP范圍的數(shù)據(jù)包。

  圖1 阿里云電子商務(wù)實(shí)例的一個(gè)樣本,,帶有創(chuàng)建防火墻規(guī)則的特定惡意代碼

  圖2 禁用阿里安全代理

  此外,,默認(rèn)的阿里云ECS 實(shí)例提供root訪(fǎng)問(wèn)權(quán)限。雖然其他CSP提供了不同的選項(xiàng),,包括最低特權(quán)的選項(xiàng)——例如不允許通過(guò)用戶(hù)名和口令進(jìn)行 Secure Shell (SSH) 身份驗(yàn)證和只允許非對(duì)稱(chēng)加密身份驗(yàn)證——但其他 CSP默認(rèn)不允許用戶(hù)直接通過(guò)SSH登錄,,所以需要一個(gè)權(quán)限較低的用戶(hù),。

  例如,如果登錄機(jī)密被泄露,,獲得低權(quán)限訪(fǎng)問(wèn)將需要攻擊者加大力度提升權(quán)限,。但是,對(duì)于阿里云,,所有用戶(hù)都可以選擇直接向虛擬機(jī) (VM) 內(nèi)的root用戶(hù)提供口令,。

  圖片圖 3. 默認(rèn)ECS實(shí)例的 Root 權(quán)限

  在安全方面,這與最小權(quán)限原則相矛盾,,需要強(qiáng)調(diào)的是,,這是用戶(hù)對(duì)安全配置的責(zé)任。趨勢(shì)科技強(qiáng)烈建議創(chuàng)建一個(gè)較低權(quán)限的用戶(hù)來(lái)在ECS實(shí)例中運(yùn)行應(yīng)用程序和服務(wù),。

  在這種情況下,,威脅行為者在攻擊時(shí)擁有最高可能的特權(quán),包括漏洞利用,、任何錯(cuò)誤配置問(wèn)題,、弱憑據(jù)或數(shù)據(jù)泄漏。因此,,可以部署高級(jí)負(fù)載,,例如內(nèi)核模塊rootkit和通過(guò)運(yùn)行系統(tǒng)服務(wù)實(shí)現(xiàn)持久性。鑒于此功能,,多個(gè)威脅攻擊者只需插入用于刪除僅在阿里巴巴ECS發(fā)現(xiàn)的軟件的代碼片段即可將目標(biāo)對(duì)準(zhǔn)阿里云ECS,,這也就不足為奇了。

  圖 4. 作為高權(quán)限濫用示例的diamorphine部署

  利用阿里云的加密劫持

  當(dāng)加密劫持惡意軟件在阿里ECS中運(yùn)行時(shí),,安裝的安全代理會(huì)發(fā)送惡意腳本運(yùn)行的通知,。然后,用戶(hù)有責(zé)任停止正在進(jìn)行的感染和惡意活動(dòng),。阿里云安全提供了有關(guān)如何執(zhí)行此操作的指南,。更重要的是,用戶(hù)有責(zé)任首先防止這種感染的發(fā)生,。

  圖片圖 5. 加密劫持惡意軟件示例

  盡管檢測(cè)到,,安全代理仍無(wú)法清除正在運(yùn)行的危害并被禁用。查看另一個(gè)惡意軟件樣本表明,,安全代理在觸發(fā)入侵警報(bào)之前也已被卸載,。然后示例繼續(xù)安裝 XMRig。進(jìn)一步檢查樣本表明,,加密礦工(cryptominer) 可以很容易地替換為另一種惡意軟件,,以便在環(huán)境中執(zhí)行。

  還需要注意的是,,阿里ECS具有Auto Scaling功能,,用戶(hù)和組織可以啟用該服務(wù),,根據(jù)用戶(hù)請(qǐng)求量自動(dòng)調(diào)整計(jì)算資源。當(dāng)需求增加時(shí),,Auto Scaling允許ECS實(shí)例根據(jù)枚舉的策略為所述請(qǐng)求提供服務(wù),。雖然該功能是免費(fèi)提供給訂閱者的,但資源使用量的增加會(huì)導(dǎo)致額外收費(fèi),。當(dāng)賬單到達(dá)不知情的組織或用戶(hù)時(shí),,加密礦工可能已經(jīng)產(chǎn)生了額外的成本。此外,,合法訂閱者必須手動(dòng)刪除感染以清理危害的基礎(chǔ)設(shè)施,。

  圖 6. 惡意軟件使用的安全代理卸載例程示例

  趨勢(shì)科技團(tuán)隊(duì)獲取的樣本可能與針對(duì)阿里云的活動(dòng)相關(guān)聯(lián),趨勢(shì)科技發(fā)現(xiàn)這些樣本與其他同樣針對(duì)亞洲 CSP 的活動(dòng)(例如華為云)具有共同的特征,、功能和能力,。還有其他關(guān)于這些攻擊檢測(cè)的報(bào)告。

  圖 7. 比較受感染的阿里云(左)和華為云(右)的樣本,。

  來(lái)自?xún)蓚€(gè)活動(dòng)的樣本具有共同特征,,尤其是在消除“對(duì)手”和為下一階段感染設(shè)置環(huán)境方面,,例如確保使用公共 DNS,。盡管編碼風(fēng)格不同,但兩種攻擊的功能目的是相似的,。

  減輕威脅對(duì)阿里ECS工作負(fù)載的影響

  性能損失是在阿里云基礎(chǔ)設(shè)施中運(yùn)行加密劫持活動(dòng)的后果之一,,因?yàn)榧用芡诰蜻^(guò)程會(huì)消耗大量資源。此外,,在用戶(hù)使用 Auto Scaling 功能設(shè)置他們的實(shí)例的情況下,,他們最終可能會(huì)產(chǎn)生意外的訂閱成本。

  攻擊者可以輕松地?cái)U(kuò)展攻擊的規(guī)模,,因此還可以輕松地用另一種惡意軟件替換惡意加密礦工,,這可能會(huì)為他們帶來(lái)更多利潤(rùn)或傳播到其他工作負(fù)載和端點(diǎn)。由于以高用戶(hù)權(quán)限滲透到環(huán)境中是多么容易,,因此可以對(duì)項(xiàng)目或基礎(chǔ)設(shè)施進(jìn)行后續(xù)攻擊,。趨勢(shì)科技繼續(xù)研究可以部署在基礎(chǔ)設(shè)施中的惡意活動(dòng)。趨勢(shì)科技還在此處列出了一些組織可以遵循的最佳實(shí)踐:

  踐行責(zé)任共擔(dān)模式,。無(wú)論電信運(yùn)營(yíng)商和用戶(hù)有責(zé)任確保工作負(fù)載,,項(xiàng)目的安全配置和環(huán)境是安全的。通讀指南,,自定義并相應(yīng)地啟用工作負(fù)載和項(xiàng)目的安全層,。啟用最能幫助保護(hù)云環(huán)境并確保其具有不止一層惡意軟件掃描和漏洞檢測(cè)工具的策略。

  自定義云項(xiàng)目和工作負(fù)載的安全功能,。盡管CSP 提供了該功能,,但請(qǐng)避免在 root 權(quán)限下運(yùn)行應(yīng)用程序和使用SSH口令,。使用公鑰加密進(jìn)行訪(fǎng)問(wèn)。

  遵循最小特權(quán)原則,。根據(jù)他們各自參與項(xiàng)目或應(yīng)用程序的級(jí)別,,限制具有最高訪(fǎng)問(wèn)權(quán)限的用戶(hù)數(shù)量。




電子技術(shù)圖片.png

本站內(nèi)容除特別聲明的原創(chuàng)文章之外,,轉(zhuǎn)載內(nèi)容只為傳遞更多信息,,并不代表本網(wǎng)站贊同其觀(guān)點(diǎn)。轉(zhuǎn)載的所有的文章,、圖片,、音/視頻文件等資料的版權(quán)歸版權(quán)所有權(quán)人所有。本站采用的非本站原創(chuàng)文章及圖片等內(nèi)容無(wú)法一一聯(lián)系確認(rèn)版權(quán)者,。如涉及作品內(nèi)容,、版權(quán)和其它問(wèn)題,請(qǐng)及時(shí)通過(guò)電子郵件或電話(huà)通知我們,,以便迅速采取適當(dāng)措施,,避免給雙方造成不必要的經(jīng)濟(jì)損失。聯(lián)系電話(huà):010-82306118,;郵箱:[email protected],。