阿里云ECS被加密货币挖矿恶意软件劫持
 |  |  |  |
| 【性价之王】 | 【线路之王】 | 【价格之王】 | 【配置之王】 |
| 【免费之王】 | 【香港首推】 | 【梯子之王】 | 【独服之王】 |
目录
众所周知,威胁行为者正在积极利用错误配置的 Linux 驱动服务器,无论它们是在本地运行还是在云中运行。受感染的设备主要用于加密劫持目的,主要用于挖掘数字货币门罗币。一个臭名昭著的例子是 TeamTNT,它是最早将重点转移到面向云的服务的黑客组织之一。
该cryptojacking战场由多个威胁行为者,如共享Kinsing和蒂岑茨,等等。他们在代码中共享的两个共同特征是删除也在挖掘加密货币的竞争参与者并禁用受害机器中的安全功能。这为他们提供了优于被劫持资源的优势,例如我们确定的针对华为云的高级系统卫生示例。
在本文中,我们将重点介绍我们在多个负载中发现的一个常见功能:禁用阿里云服务提供商 (CSP) 内部的功能。我们还研究了多个威胁行为者和恶意软件例程关注阿里云(也称为阿里云)的可能原因,以及这些非法挖矿活动对阿里云用户的影响。
在本博客发布之前,我们已通过他们列出的联系方式与阿里云团队取得了联系,我们正在等待他们对此问题的回应。
阿里巴巴弹性计算服务 (ECS) 实例预装了安全代理。因此,威胁行为者会在受到攻击时尝试将其卸载。这并不奇怪,因为我们过去曾见过类似的有效载荷。但是,这次我们在恶意软件中发现了一个特定代码,该代码创建防火墙规则以丢弃来自属于阿里巴巴内部区域和区域的 IP 范围的传入数据包。
此外,默认的阿里巴巴 ECS 实例提供 root 访问权限。虽然其他 CSP 提供了不同的选项,包括最低特权的选项——例如不允许通过用户和密码进行安全外壳 (SSH) 身份验证,而只允许非对称加密身份验证——但其他 CSP 默认不允许用户直接通过 SSH 登录,所以需要一个权限较低的用户。
例如,如果登录机密被泄露,获得低权限访问将需要攻击者加大力度提升权限。但是,对于阿里巴巴,所有用户都可以选择直接向虚拟机 (VM) 内的 root 用户提供密码。
在安全方面,这与最小权限原则相矛盾,需要强调的是,这是用户对安全配置的责任。我们强烈建议创建一个较低权限的用户来在 ECS 实例中运行应用程序和服务。
在这种情况下,威胁行为者在受到攻击时拥有最高可能的特权,包括漏洞利用、任何错误配置问题、弱凭据或数据泄漏。因此,可以部署高级负载,例如内核模块 rootkit 和通过运行系统服务实现持久性。鉴于此功能,多个威胁攻击者只需插入用于删除仅在阿里巴巴 ECS 中发现的软件的代码片段即可将目标对准阿里云 ECS,这也就不足为奇了。
劫持阿里云
当加密劫持恶意软件在阿里巴巴 ECS 中运行时,安装的安全代理会发送恶意脚本运行的通知。然后,用户有责任停止正在进行的感染和恶意活动。阿里云安全提供了有关如何执行此操作的指南。更重要的是,用户有责任首先防止这种感染的发生。
尽管检测到,安全代理仍无法清除正在运行的危害并被禁用。查看另一个恶意软件样本表明,安全代理在触发入侵警报之前也已被卸载。然后示例继续安装 XMRig。进一步检查样本表明,cryptominer 可以很容易地替换为另一种恶意软件,以便在环境中执行。
还需要注意的是,阿里巴巴 ECS 具有Auto Scaling功能,用户和组织可以启用该服务根据用户请求量自动调整计算资源。当需求增加时,Auto Scaling 允许 ECS 实例根据枚举的策略为所述请求提供服务。虽然该功能是免费提供给订阅者的,但资源使用量的增加会导致额外收费。当账单到达不知情的组织或用户时,加密矿工可能已经产生了额外的成本。此外,合法订阅者必须手动删除感染以清理受感染的基础设施。
我们团队获取的样本可能与针对阿里巴巴的活动相关联,我们发现这些样本与其他同样针对亚洲 CSP 的活动(例如华为云)具有共同的特征、功能和功能。还有其他关于这些妥协检测的报告。
来自两个活动的样本具有共同特征,尤其是在移除“对手”和为下一阶段感染设置环境时,例如确保使用公共 DNS。尽管编码风格不同,但两种攻击的功能目的是相似的。
减轻威胁对阿里巴巴 ECS 工作负载的影响性能损失是让加密劫持活动在阿里云基础设施内运行的后果之一,因为加密挖掘过程会消耗大量资源。此外,在用户使用 Auto Scaling 功能设置他们的实例的情况下,他们最终可能会产生意外的订阅成本。
攻击者可以轻松地扩展妥协的规模,因此还可以轻松地用另一种恶意软件替换恶意加密矿工,这可能会为他们带来更多利润或传播到其他工作负载和端点。由于以高用户权限渗透到环境中是多么容易,因此可以对项目或基础设施进行后续攻击。我们继续研究可以部署在基础设施中的恶意活动。我们还在此处列出了一些组织可以遵循的最佳实践:
践行责任共担模式。无论电信运营商和用户有责任确保工作负载,项目的安全配置和环境是安全的。通读指南,自定义并相应地启用工作负载和项目的安全层。启用最能帮助保护云环境并确保其具有不止一层恶意软件扫描和漏洞检测工具的策略。
自定义云项目和工作负载的安全功能。尽管您的 CSP 提供了该功能,但请避免在 root 权限下运行应用程序和使用 SSH 密码。使用公钥加密进行访问。
遵循最小特权原则。根据他们各自参与项目或应用程序的级别,限制具有最高访问权限的用户数量。
猜你可能想看的VPS
- 疯狂猜成语 图猜成语一个人在骂百和一是什么成语?全球[VPS测评]
- element-ui upload 清空文件列表全球[VPS测评]
- JS 计算两个时间戳相差月数 天数 时数 分钟 秒数全球[VPS测评]
- 一键更换 Linux 软件源脚本→SuperUpdate.sh全球[VPS测评]
- 疯狂猜成语 图猜成语一个寸字一个步字在一个圆圈里是什么成语?全球[VPS测评]
- FantomNetworks→$51.8 月-E3 1245v3 32G全球[VPS测评]
- 做站 傲游主机新上圣何塞 CN2 GIA 线路 年付自动 8.3 折 可全球[VPS测评]
- 搬瓦工→8.9 折最高优惠 全场通用 香港 1Gbps 带宽 洛杉矶 C香港VPS[主机]
- 搬瓦工 CN2 GIA 购买技巧 通过升降配置购买搬瓦工低价的 CN2 全球[VPS测评]
- 阿里云香港服务器测评 稳定高速的香港免备案云服务器 119 元 年香港VPS[主机]
- DiyVM→69 元 月 XEN-2GB 50GB 2M 香港&洛杉矶香港VPS[主机]
- 开心果 app 0 撸实物。全球[VPS测评]
- 流量翻倍 RootNerds→日本直连线路 VPS OpenVZ 虚拟架日本VPS[主机]
- 如何评测搬瓦工VPS?评测指标有哪些?全球[VPS测评]
- WordPress响应式主题Frontier,体积只有278 KB全球[VPS测评]
- 极客主机,美国高防/日本软银/新加坡双程CN2/香港VPS 折后39元/日本VPS[主机]
- 野草云服务器怎么样?香港CN2+BGP带宽30M月付19元香港VPS[主机]
- DMIT:香港/洛杉矶GIA等KVM VPS,黑五DMIT优惠码活动,稳香港VPS[主机]
- 阁天互联怎么样?香港cn2云服务器 圣何塞cn2vps仅20/月香港VPS[主机]
- 40火伞高压电爬坡更让企业用电于民全球[VPS测评]
- 六一云:国内BGP高防vps套餐,1核/1G/2Mbps/香港CN2,月香港VPS[主机]
- 群英云怎么样?2核2G3M华北BGP云服务器,98元/首月;香港cn2v香港VPS[主机]
- ExCloud:1核256M存/8GB SSD空间/100GB流量/OV虚拟空间(主机)
- wordpress 上传附件报错 “抱歉,出于安全的考虑,不支持此文件类全球[VPS测评]
- 青果云怎么样?美国/香港/日本云主机 买多久送多久日本VPS[主机]
- SugarHosts:虚拟主机三折起,VPS五折起,续费也可以享受优惠全球[VPS测评]
- 易探云:香港云服务器2核2G5M首月39元,带1G防御,年付6.8折优惠香港VPS[主机]
- 恒创主机优惠码85折_服务器优惠券8折_恒创科技优惠_代金券全球[VPS测评]
- 景林网络:香港CN2vps,1核1G3M月付35元;美国高防vps,48美国VPS[主机]
- 七安云怎么样?香港CN2+BGP线路VPS 1核1G10M 16/月香港VPS[主机]
转载请注明原文地址:http://140.238.13.167:12355/read-189251.html