目录

众所周知，威胁行为者正在积极利用错误配置的 Linux 驱动服务器，无论它们是在本地运行还是在云中运行。受感染的设备主要用于加密劫持目的，主要用于挖掘数字货币门罗币。一个臭名昭著的例子是 TeamTNT，它是最早将重点转移到面向云的服务的黑客组织之一。

该cryptojacking战场由多个威胁行为者，如共享Kinsing和蒂岑茨，等等。他们在代码中共享的两个共同特征是删除也在挖掘加密货币的竞争参与者并禁用受害机器中的安全功能。这为他们提供了优于被劫持资源的优势，例如我们确定的针对华为云的高级系统卫生示例。
在本文中，我们将重点介绍我们在多个负载中发现的一个常见功能：禁用阿里云服务提供商 (CSP) 内部的功能。我们还研究了多个威胁行为者和恶意软件例程关注阿里云（也称为阿里云）的可能原因，以及这些非法挖矿活动对阿里云用户的影响。
在本博客发布之前，我们已通过他们列出的联系方式与阿里云团队取得了联系，我们正在等待他们对此问题的回应。

阿里巴巴弹性计算服务 (ECS) 实例预装了安全代理。因此，威胁行为者会在受到攻击时尝试将其卸载。这并不奇怪，因为我们过去曾见过类似的有效载荷。但是，这次我们在恶意软件中发现了一个特定代码，该代码创建防火墙规则以丢弃来自属于阿里巴巴内部区域和区域的 IP 范围的传入数据包。

此外，默认的阿里巴巴 ECS 实例提供 root 访问权限。虽然其他 CSP 提供了不同的选项，包括最低特权的选项——例如不允许通过用户和密码进行安全外壳 (SSH) 身份验证，而只允许非对称加密身份验证——但其他 CSP 默认不允许用户直接通过 SSH 登录，所以需要一个权限较低的用户。

例如，如果登录机密被泄露，获得低权限访问将需要攻击者加大力度提升权限。但是，对于阿里巴巴，所有用户都可以选择直接向虚拟机 (VM) 内的 root 用户提供密码。

在安全方面，这与最小权限原则相矛盾，需要强调的是，这是用户对安全配置的责任。我们强烈建议创建一个较低权限的用户来在 ECS 实例中运行应用程序和服务。

在这种情况下，威胁行为者在受到攻击时拥有最高可能的特权，包括漏洞利用、任何错误配置问题、弱凭据或数据泄漏。因此，可以部署高级负载，例如内核模块 rootkit 和通过运行系统服务实现持久性。鉴于此功能，多个威胁攻击者只需插入用于删除仅在阿里巴巴 ECS 中发现的软件的代码片段即可将目标对准阿里云 ECS，这也就不足为奇了。

当加密劫持恶意软件在阿里巴巴 ECS 中运行时，安装的安全代理会发送恶意脚本运行的通知。然后，用户有责任停止正在进行的感染和恶意活动。阿里云安全提供了有关如何执行此操作的指南。更重要的是，用户有责任首先防止这种感染的发生。

尽管检测到，安全代理仍无法清除正在运行的危害并被禁用。查看另一个恶意软件样本表明，安全代理在触发入侵警报之前也已被卸载。然后示例继续安装 XMRig。进一步检查样本表明，cryptominer 可以很容易地替换为另一种恶意软件，以便在环境中执行。

还需要注意的是，阿里巴巴 ECS 具有Auto Scaling功能，用户和组织可以启用该服务根据用户请求量自动调整计算资源。当需求增加时，Auto Scaling 允许 ECS 实例根据枚举的策略为所述请求提供服务。虽然该功能是免费提供给订阅者的，但资源使用量的增加会导致额外收费。当账单到达不知情的组织或用户时，加密矿工可能已经产生了额外的成本。此外，合法订阅者必须手动删除感染以清理受感染的基础设施。

我们团队获取的样本可能与针对阿里巴巴的活动相关联，我们发现这些样本与其他同样针对亚洲 CSP 的活动（例如华为云）具有共同的特征、功能和功能。还有其他关于这些妥协检测的报告。

来自两个活动的样本具有共同特征，尤其是在移除“对手”和为下一阶段感染设置环境时，例如确保使用公共 DNS。尽管编码风格不同，但两种攻击的功能目的是相似的。

性能损失是让加密劫持活动在阿里云基础设施内运行的后果之一，因为加密挖掘过程会消耗大量资源。此外，在用户使用 Auto Scaling 功能设置他们的实例的情况下，他们最终可能会产生意外的订阅成本。

攻击者可以轻松地扩展妥协的规模，因此还可以轻松地用另一种恶意软件替换恶意加密矿工，这可能会为他们带来更多利润或传播到其他工作负载和端点。由于以高用户权限渗透到环境中是多么容易，因此可以对项目或基础设施进行后续攻击。我们继续研究可以部署在基础设施中的恶意活动。我们还在此处列出了一些组织可以遵循的最佳实践：

践行责任共担模式。无论电信运营商和用户有责任确保工作负载，项目的安全配置和环境是安全的。通读指南，自定义并相应地启用工作负载和项目的安全层。启用最能帮助保护云环境并确保其具有不止一层恶意软件扫描和漏洞检测工具的策略。
自定义云项目和工作负载的安全功能。尽管您的 CSP 提供了该功能，但请避免在 root 权限下运行应用程序和使用 SSH 密码。使用公钥加密进行访问。
遵循最小特权原则。根据他们各自参与项目或应用程序的级别，限制具有最高访问权限的用户数量。