阿里云ECS被加密货币挖矿恶意软件劫持
 |  |  |  |
| 【性价之王】 | 【线路之王】 | 【价格之王】 | 【配置之王】 |
| 【免费之王】 | 【香港首推】 | 【梯子之王】 | 【独服之王】 |
目录
众所周知,威胁行为者正在积极利用错误配置的 Linux 驱动服务器,无论它们是在本地运行还是在云中运行。受感染的设备主要用于加密劫持目的,主要用于挖掘数字货币门罗币。一个臭名昭著的例子是 TeamTNT,它是最早将重点转移到面向云的服务的黑客组织之一。
该cryptojacking战场由多个威胁行为者,如共享Kinsing和蒂岑茨,等等。他们在代码中共享的两个共同特征是删除也在挖掘加密货币的竞争参与者并禁用受害机器中的安全功能。这为他们提供了优于被劫持资源的优势,例如我们确定的针对华为云的高级系统卫生示例。
在本文中,我们将重点介绍我们在多个负载中发现的一个常见功能:禁用阿里云服务提供商 (CSP) 内部的功能。我们还研究了多个威胁行为者和恶意软件例程关注阿里云(也称为阿里云)的可能原因,以及这些非法挖矿活动对阿里云用户的影响。
在本博客发布之前,我们已通过他们列出的联系方式与阿里云团队取得了联系,我们正在等待他们对此问题的回应。
阿里巴巴弹性计算服务 (ECS) 实例预装了安全代理。因此,威胁行为者会在受到攻击时尝试将其卸载。这并不奇怪,因为我们过去曾见过类似的有效载荷。但是,这次我们在恶意软件中发现了一个特定代码,该代码创建防火墙规则以丢弃来自属于阿里巴巴内部区域和区域的 IP 范围的传入数据包。
此外,默认的阿里巴巴 ECS 实例提供 root 访问权限。虽然其他 CSP 提供了不同的选项,包括最低特权的选项——例如不允许通过用户和密码进行安全外壳 (SSH) 身份验证,而只允许非对称加密身份验证——但其他 CSP 默认不允许用户直接通过 SSH 登录,所以需要一个权限较低的用户。
例如,如果登录机密被泄露,获得低权限访问将需要攻击者加大力度提升权限。但是,对于阿里巴巴,所有用户都可以选择直接向虚拟机 (VM) 内的 root 用户提供密码。
在安全方面,这与最小权限原则相矛盾,需要强调的是,这是用户对安全配置的责任。我们强烈建议创建一个较低权限的用户来在 ECS 实例中运行应用程序和服务。
在这种情况下,威胁行为者在受到攻击时拥有最高可能的特权,包括漏洞利用、任何错误配置问题、弱凭据或数据泄漏。因此,可以部署高级负载,例如内核模块 rootkit 和通过运行系统服务实现持久性。鉴于此功能,多个威胁攻击者只需插入用于删除仅在阿里巴巴 ECS 中发现的软件的代码片段即可将目标对准阿里云 ECS,这也就不足为奇了。
劫持阿里云
当加密劫持恶意软件在阿里巴巴 ECS 中运行时,安装的安全代理会发送恶意脚本运行的通知。然后,用户有责任停止正在进行的感染和恶意活动。阿里云安全提供了有关如何执行此操作的指南。更重要的是,用户有责任首先防止这种感染的发生。
尽管检测到,安全代理仍无法清除正在运行的危害并被禁用。查看另一个恶意软件样本表明,安全代理在触发入侵警报之前也已被卸载。然后示例继续安装 XMRig。进一步检查样本表明,cryptominer 可以很容易地替换为另一种恶意软件,以便在环境中执行。
还需要注意的是,阿里巴巴 ECS 具有Auto Scaling功能,用户和组织可以启用该服务根据用户请求量自动调整计算资源。当需求增加时,Auto Scaling 允许 ECS 实例根据枚举的策略为所述请求提供服务。虽然该功能是免费提供给订阅者的,但资源使用量的增加会导致额外收费。当账单到达不知情的组织或用户时,加密矿工可能已经产生了额外的成本。此外,合法订阅者必须手动删除感染以清理受感染的基础设施。
我们团队获取的样本可能与针对阿里巴巴的活动相关联,我们发现这些样本与其他同样针对亚洲 CSP 的活动(例如华为云)具有共同的特征、功能和功能。还有其他关于这些妥协检测的报告。
来自两个活动的样本具有共同特征,尤其是在移除“对手”和为下一阶段感染设置环境时,例如确保使用公共 DNS。尽管编码风格不同,但两种攻击的功能目的是相似的。
减轻威胁对阿里巴巴 ECS 工作负载的影响性能损失是让加密劫持活动在阿里云基础设施内运行的后果之一,因为加密挖掘过程会消耗大量资源。此外,在用户使用 Auto Scaling 功能设置他们的实例的情况下,他们最终可能会产生意外的订阅成本。
攻击者可以轻松地扩展妥协的规模,因此还可以轻松地用另一种恶意软件替换恶意加密矿工,这可能会为他们带来更多利润或传播到其他工作负载和端点。由于以高用户权限渗透到环境中是多么容易,因此可以对项目或基础设施进行后续攻击。我们继续研究可以部署在基础设施中的恶意活动。我们还在此处列出了一些组织可以遵循的最佳实践:
践行责任共担模式。无论电信运营商和用户有责任确保工作负载,项目的安全配置和环境是安全的。通读指南,自定义并相应地启用工作负载和项目的安全层。启用最能帮助保护云环境并确保其具有不止一层恶意软件扫描和漏洞检测工具的策略。
自定义云项目和工作负载的安全功能。尽管您的 CSP 提供了该功能,但请避免在 root 权限下运行应用程序和使用 SSH 密码。使用公钥加密进行访问。
遵循最小特权原则。根据他们各自参与项目或应用程序的级别,限制具有最高访问权限的用户数量。
猜你可能想看的VPS
- 限时 腾讯云秒杀活动最后 3 天 诚信无套路 做站用户必选商家全球[VPS测评]
- 特别推荐 XXMhost→1 核 512M 内存 10G SSD 0.8全球[VPS测评]
- 疯狂猜成语 图猜成语一个繁体的瓮字中间有个君字是什么成语?全球[VPS测评]
- CloudCone→$2 月 KVM-1GB 10GB 1TB 洛杉矶(全球[VPS测评]
- 没有用过-MoeVM→139 元 月 上海 CN2 服务器 500G 流全球[VPS测评]
- 两个官字是什么成语?全球[VPS测评]
- 促销 TheStack→4 核 4G 内存 60G 硬盘 2T 流量 1全球[VPS测评]
- Sharktech→10G 无限流量服务器 55 折 三机房可选 支持支全球[VPS测评]
- 推荐 傲游主机→德国 CN2 GIA 线路 KVM 构架 VPS 上线 WINDOWS
- Xshell Xftp XshellPlus 5 和 6 版本官方下载+全球[VPS测评]
- OLVPS→104 元 月 1GB 内存 50GB 空间 2TB 流量 虚拟空间(主机)
- 打折 DediPath→VPS 全场四折优惠 Hybrid 七折优惠 1全球[VPS测评]
- Ucloud云服务器官方补贴 个人新用户北上广低至¥77/年;香港低至¥香港VPS[主机]
- hostiger美国便宜VPS黑五,VMware VPS年付19美元起;美国VPS[主机]
- NexusBytes新开分站EntryBytes,1核3G内存/30G 全球[VPS测评]
- 如何解决WordPress后台登录显示重定向次数过多全球[VPS测评]
- SoyouStart → E3-1225v2 16G 内存 3*2T S全球[VPS测评]
- 用玩客云做打印服务器,让你在手机上轻松实现无线打印全球[VPS测评]
- 六一云:香港CMI VPS,10G防御,1核/1G/40G SSD/15香港VPS[主机]
- 向日葵-漏洞科普:海外云服务器三种漏洞修复方法快收藏起来!全球[VPS测评]
- anyhk:香港HGC/WTT/HKT线路、台湾HiNet线路NAT套餐香港VPS[主机]
- 创新互联:免备案美国香港云主机4核2G仅558元/月,5580元/年美国VPS[主机]
- wikihost,微基主机服务,100M带宽香港CMIVPS,5G防御,香港VPS[主机]
- 六一云:香港CN2/洛杉矶高防85折优惠,CDN半年优惠,充值返利送水杯香港VPS[主机]
- 众创逸云:国庆中秋节大促销优惠,不限流量香港CN2线路VPS 5.9元/香港VPS[主机]
- 云计算的大门依旧没向雷军敞开全球[VPS测评]
- VPS到底有什么用?全球[VPS测评]
- RAKsmart:1核1GB/40GB空间/不限流量/15Mbps/KV虚拟空间(主机)
- 野草云怎么样?香港、美国圣何塞高防VPS 1核1G3M 月付19元美国VPS[主机]
- 云服务器和服务器各有什么优缺点?全球[VPS测评]
转载请注明原文地址:http://140.238.13.167:12355/read-188295.html