據(jù)趨勢科技研究人員11月15日發(fā)布的博文，惡意威脅行為者正在利用阿里云ECS實例中的功能以進行門羅幣加密劫持。網絡犯罪分子的目標是阿里巴巴彈性計算服務（ECS）實例，禁用某些安全功能以進一步實現(xiàn)他們的加密劫持目標。阿里云提供了一些獨特的選項，使其成為攻擊者極具吸引力的目標。

　　眾所周知，威脅行為者正在積極利用配置錯誤的linux服務器，不管它們是運行在本地還是在云中。這些被泄露的設備大多用于加密劫持目的，主要用于挖掘數(shù)字貨幣Monero。一個臭名昭著的例子是TeamTNT，它是第一批將重點轉向云服務的黑客組織之一。

　　加密劫持戰(zhàn)場由Kinsing和TeamTNT等多個威脅參與者共享。它們在代碼中共享的兩個共同特征是刪除也在挖掘加密貨幣的競爭參與者，并禁用在受害機器中發(fā)現(xiàn)的安全功能。這為他們提供了相對于被劫持資源的優(yōu)勢，例如針對華為云確定的先進系統(tǒng)衛(wèi)生設施的例子。

　　趨勢科技將重點關注在多個有效負載中發(fā)現(xiàn)的一個常見功能：阿里云服務提供商（CSP）內部功能的禁用。研究人員還分析了多個威脅行為者和惡意程序集中在阿里云上的可能原因，以及這些非法挖掘活動對阿里云用戶的影響。

　　趨勢科技在博客發(fā)表之前，已經通過阿里云團隊給出的聯(lián)系方式與他們取得了聯(lián)系，正在等待阿里云方面對此問題的回應。

　　阿里云的ECS

　　阿里云的彈性計算服務（ECS）實例自帶安全代理。因此，威脅參與者試圖在入侵利用時卸載它。這并不奇怪，因為過去看到過類似的有效載荷。然而，這次趨勢科技的研究人員在惡意軟件中發(fā)現(xiàn)了一個特定的代碼，它創(chuàng)建了防火墻規(guī)則，丟棄來自阿里云內部區(qū)域和地區(qū)的IP范圍的數(shù)據(jù)包。

　　圖1 阿里云電子商務實例的一個樣本，帶有創(chuàng)建防火墻規(guī)則的特定惡意代碼

　　圖2 禁用阿里安全代理

　　此外，默認的阿里云ECS 實例提供root訪問權限。雖然其他CSP提供了不同的選項，包括最低特權的選項——例如不允許通過用戶名和口令進行 Secure Shell （SSH） 身份驗證和只允許非對稱加密身份驗證——但其他 CSP默認不允許用戶直接通過SSH登錄，所以需要一個權限較低的用戶。

　　例如，如果登錄機密被泄露，獲得低權限訪問將需要攻擊者加大力度提升權限。但是，對于阿里云，所有用戶都可以選擇直接向虛擬機 （VM） 內的root用戶提供口令。

　　圖片圖 3. 默認ECS實例的 Root 權限

　　在安全方面，這與最小權限原則相矛盾，需要強調的是，這是用戶對安全配置的責任。趨勢科技強烈建議創(chuàng)建一個較低權限的用戶來在ECS實例中運行應用程序和服務。

　　在這種情況下，威脅行為者在攻擊時擁有最高可能的特權，包括漏洞利用、任何錯誤配置問題、弱憑據(jù)或數(shù)據(jù)泄漏。因此，可以部署高級負載，例如內核模塊rootkit和通過運行系統(tǒng)服務實現(xiàn)持久性。鑒于此功能，多個威脅攻擊者只需插入用于刪除僅在阿里巴巴ECS發(fā)現(xiàn)的軟件的代碼片段即可將目標對準阿里云ECS，這也就不足為奇了。

　　圖 4. 作為高權限濫用示例的diamorphine部署

　　利用阿里云的加密劫持

　　當加密劫持惡意軟件在阿里ECS中運行時，安裝的安全代理會發(fā)送惡意腳本運行的通知。然后，用戶有責任停止正在進行的感染和惡意活動。阿里云安全提供了有關如何執(zhí)行此操作的指南。更重要的是，用戶有責任首先防止這種感染的發(fā)生。

　　圖片圖 5. 加密劫持惡意軟件示例

　　盡管檢測到，安全代理仍無法清除正在運行的危害并被禁用。查看另一個惡意軟件樣本表明，安全代理在觸發(fā)入侵警報之前也已被卸載。然后示例繼續(xù)安裝 XMRig。進一步檢查樣本表明，加密礦工（cryptominer） 可以很容易地替換為另一種惡意軟件，以便在環(huán)境中執(zhí)行。

　　還需要注意的是，阿里ECS具有Auto Scaling功能，用戶和組織可以啟用該服務，根據(jù)用戶請求量自動調整計算資源。當需求增加時，Auto Scaling允許ECS實例根據(jù)枚舉的策略為所述請求提供服務。雖然該功能是免費提供給訂閱者的，但資源使用量的增加會導致額外收費。當賬單到達不知情的組織或用戶時，加密礦工可能已經產生了額外的成本。此外，合法訂閱者必須手動刪除感染以清理危害的基礎設施。

　　圖 6. 惡意軟件使用的安全代理卸載例程示例

　　趨勢科技團隊獲取的樣本可能與針對阿里云的活動相關聯(lián)，趨勢科技發(fā)現(xiàn)這些樣本與其他同樣針對亞洲 CSP 的活動（例如華為云）具有共同的特征、功能和能力。還有其他關于這些攻擊檢測的報告。

　　圖 7. 比較受感染的阿里云（左）和華為云（右）的樣本。

　　來自兩個活動的樣本具有共同特征，尤其是在消除“對手”和為下一階段感染設置環(huán)境方面，例如確保使用公共 DNS。盡管編碼風格不同，但兩種攻擊的功能目的是相似的。

　　減輕威脅對阿里ECS工作負載的影響

　　性能損失是在阿里云基礎設施中運行加密劫持活動的后果之一，因為加密挖掘過程會消耗大量資源。此外，在用戶使用 Auto Scaling 功能設置他們的實例的情況下，他們最終可能會產生意外的訂閱成本。

　　攻擊者可以輕松地擴展攻擊的規(guī)模，因此還可以輕松地用另一種惡意軟件替換惡意加密礦工，這可能會為他們帶來更多利潤或傳播到其他工作負載和端點。由于以高用戶權限滲透到環(huán)境中是多么容易，因此可以對項目或基礎設施進行后續(xù)攻擊。趨勢科技繼續(xù)研究可以部署在基礎設施中的惡意活動。趨勢科技還在此處列出了一些組織可以遵循的最佳實踐：

　　踐行責任共擔模式。無論電信運營商和用戶有責任確保工作負載，項目的安全配置和環(huán)境是安全的。通讀指南，自定義并相應地啟用工作負載和項目的安全層。啟用最能幫助保護云環(huán)境并確保其具有不止一層惡意軟件掃描和漏洞檢測工具的策略。

　　自定義云項目和工作負載的安全功能。盡管CSP 提供了該功能，但請避免在 root 權限下運行應用程序和使用SSH口令。使用公鑰加密進行訪問。

　　遵循最小特權原則。根據(jù)他們各自參與項目或應用程序的級別，限制具有最高訪問權限的用戶數(shù)量。