據(jù)趨勢(shì)科技研究人員11月15日發(fā)布的博文，惡意威脅行為者正在利用阿里云ECS實(shí)例中的功能以進(jìn)行門羅幣加密劫持。網(wǎng)絡(luò)犯罪分子的目標(biāo)是阿里巴巴彈性計(jì)算服務(wù)（ECS）實(shí)例，禁用某些安全功能以進(jìn)一步實(shí)現(xiàn)他們的加密劫持目標(biāo)。阿里云提供了一些獨(dú)特的選項(xiàng)，使其成為攻擊者極具吸引力的目標(biāo)。

　　眾所周知，威脅行為者正在積極利用配置錯(cuò)誤的linux服務(wù)器，不管它們是運(yùn)行在本地還是在云中。這些被泄露的設(shè)備大多用于加密劫持目的，主要用于挖掘數(shù)字貨幣Monero。一個(gè)臭名昭著的例子是TeamTNT，它是第一批將重點(diǎn)轉(zhuǎn)向云服務(wù)的黑客組織之一。

　　加密劫持戰(zhàn)場(chǎng)由Kinsing和TeamTNT等多個(gè)威脅參與者共享。它們?cè)诖a中共享的兩個(gè)共同特征是刪除也在挖掘加密貨幣的競(jìng)爭(zhēng)參與者，并禁用在受害機(jī)器中發(fā)現(xiàn)的安全功能。這為他們提供了相對(duì)于被劫持資源的優(yōu)勢(shì)，例如針對(duì)華為云確定的先進(jìn)系統(tǒng)衛(wèi)生設(shè)施的例子。

　　趨勢(shì)科技將重點(diǎn)關(guān)注在多個(gè)有效負(fù)載中發(fā)現(xiàn)的一個(gè)常見功能：阿里云服務(wù)提供商（CSP）內(nèi)部功能的禁用。研究人員還分析了多個(gè)威脅行為者和惡意程序集中在阿里云上的可能原因，以及這些非法挖掘活動(dòng)對(duì)阿里云用戶的影響。

　　趨勢(shì)科技在博客發(fā)表之前，已經(jīng)通過阿里云團(tuán)隊(duì)給出的聯(lián)系方式與他們?nèi)〉昧寺?lián)系，正在等待阿里云方面對(duì)此問題的回應(yīng)。

　　阿里云的ECS

　　阿里云的彈性計(jì)算服務(wù)（ECS）實(shí)例自帶安全代理。因此，威脅參與者試圖在入侵利用時(shí)卸載它。這并不奇怪，因?yàn)檫^去看到過類似的有效載荷。然而，這次趨勢(shì)科技的研究人員在惡意軟件中發(fā)現(xiàn)了一個(gè)特定的代碼，它創(chuàng)建了防火墻規(guī)則，丟棄來自阿里云內(nèi)部區(qū)域和地區(qū)的IP范圍的數(shù)據(jù)包。

　　圖1 阿里云電子商務(wù)實(shí)例的一個(gè)樣本，帶有創(chuàng)建防火墻規(guī)則的特定惡意代碼

　　圖2 禁用阿里安全代理

　　此外，默認(rèn)的阿里云ECS 實(shí)例提供root訪問權(quán)限。雖然其他CSP提供了不同的選項(xiàng)，包括最低特權(quán)的選項(xiàng)——例如不允許通過用戶名和口令進(jìn)行 Secure Shell （SSH） 身份驗(yàn)證和只允許非對(duì)稱加密身份驗(yàn)證——但其他 CSP默認(rèn)不允許用戶直接通過SSH登錄，所以需要一個(gè)權(quán)限較低的用戶。

　　例如，如果登錄機(jī)密被泄露，獲得低權(quán)限訪問將需要攻擊者加大力度提升權(quán)限。但是，對(duì)于阿里云，所有用戶都可以選擇直接向虛擬機(jī) （VM） 內(nèi)的root用戶提供口令。

　　圖片圖 3. 默認(rèn)ECS實(shí)例的 Root 權(quán)限

　　在安全方面，這與最小權(quán)限原則相矛盾，需要強(qiáng)調(diào)的是，這是用戶對(duì)安全配置的責(zé)任。趨勢(shì)科技強(qiáng)烈建議創(chuàng)建一個(gè)較低權(quán)限的用戶來在ECS實(shí)例中運(yùn)行應(yīng)用程序和服務(wù)。

　　在這種情況下，威脅行為者在攻擊時(shí)擁有最高可能的特權(quán)，包括漏洞利用、任何錯(cuò)誤配置問題、弱憑據(jù)或數(shù)據(jù)泄漏。因此，可以部署高級(jí)負(fù)載，例如內(nèi)核模塊rootkit和通過運(yùn)行系統(tǒng)服務(wù)實(shí)現(xiàn)持久性。鑒于此功能，多個(gè)威脅攻擊者只需插入用于刪除僅在阿里巴巴ECS發(fā)現(xiàn)的軟件的代碼片段即可將目標(biāo)對(duì)準(zhǔn)阿里云ECS，這也就不足為奇了。

　　圖 4. 作為高權(quán)限濫用示例的diamorphine部署

　　利用阿里云的加密劫持

　　當(dāng)加密劫持惡意軟件在阿里ECS中運(yùn)行時(shí)，安裝的安全代理會(huì)發(fā)送惡意腳本運(yùn)行的通知。然后，用戶有責(zé)任停止正在進(jìn)行的感染和惡意活動(dòng)。阿里云安全提供了有關(guān)如何執(zhí)行此操作的指南。更重要的是，用戶有責(zé)任首先防止這種感染的發(fā)生。

　　圖片圖 5. 加密劫持惡意軟件示例

　　盡管檢測(cè)到，安全代理仍無法清除正在運(yùn)行的危害并被禁用。查看另一個(gè)惡意軟件樣本表明，安全代理在觸發(fā)入侵警報(bào)之前也已被卸載。然后示例繼續(xù)安裝 XMRig。進(jìn)一步檢查樣本表明，加密礦工（cryptominer） 可以很容易地替換為另一種惡意軟件，以便在環(huán)境中執(zhí)行。

　　還需要注意的是，阿里ECS具有Auto Scaling功能，用戶和組織可以啟用該服務(wù)，根據(jù)用戶請(qǐng)求量自動(dòng)調(diào)整計(jì)算資源。當(dāng)需求增加時(shí)，Auto Scaling允許ECS實(shí)例根據(jù)枚舉的策略為所述請(qǐng)求提供服務(wù)。雖然該功能是免費(fèi)提供給訂閱者的，但資源使用量的增加會(huì)導(dǎo)致額外收費(fèi)。當(dāng)賬單到達(dá)不知情的組織或用戶時(shí)，加密礦工可能已經(jīng)產(chǎn)生了額外的成本。此外，合法訂閱者必須手動(dòng)刪除感染以清理危害的基礎(chǔ)設(shè)施。

　　圖 6. 惡意軟件使用的安全代理卸載例程示例

　　趨勢(shì)科技團(tuán)隊(duì)獲取的樣本可能與針對(duì)阿里云的活動(dòng)相關(guān)聯(lián)，趨勢(shì)科技發(fā)現(xiàn)這些樣本與其他同樣針對(duì)亞洲 CSP 的活動(dòng)（例如華為云）具有共同的特征、功能和能力。還有其他關(guān)于這些攻擊檢測(cè)的報(bào)告。

　　圖 7. 比較受感染的阿里云（左）和華為云（右）的樣本。

　　來自兩個(gè)活動(dòng)的樣本具有共同特征，尤其是在消除“對(duì)手”和為下一階段感染設(shè)置環(huán)境方面，例如確保使用公共 DNS。盡管編碼風(fēng)格不同，但兩種攻擊的功能目的是相似的。

　　減輕威脅對(duì)阿里ECS工作負(fù)載的影響

　　性能損失是在阿里云基礎(chǔ)設(shè)施中運(yùn)行加密劫持活動(dòng)的后果之一，因?yàn)榧用芡诰蜻^程會(huì)消耗大量資源。此外，在用戶使用 Auto Scaling 功能設(shè)置他們的實(shí)例的情況下，他們最終可能會(huì)產(chǎn)生意外的訂閱成本。

　　攻擊者可以輕松地?cái)U(kuò)展攻擊的規(guī)模，因此還可以輕松地用另一種惡意軟件替換惡意加密礦工，這可能會(huì)為他們帶來更多利潤(rùn)或傳播到其他工作負(fù)載和端點(diǎn)。由于以高用戶權(quán)限滲透到環(huán)境中是多么容易，因此可以對(duì)項(xiàng)目或基礎(chǔ)設(shè)施進(jìn)行后續(xù)攻擊。趨勢(shì)科技繼續(xù)研究可以部署在基礎(chǔ)設(shè)施中的惡意活動(dòng)。趨勢(shì)科技還在此處列出了一些組織可以遵循的最佳實(shí)踐：

　　踐行責(zé)任共擔(dān)模式。無論電信運(yùn)營(yíng)商和用戶有責(zé)任確保工作負(fù)載，項(xiàng)目的安全配置和環(huán)境是安全的。通讀指南，自定義并相應(yīng)地啟用工作負(fù)載和項(xiàng)目的安全層。啟用最能幫助保護(hù)云環(huán)境并確保其具有不止一層惡意軟件掃描和漏洞檢測(cè)工具的策略。

　　自定義云項(xiàng)目和工作負(fù)載的安全功能。盡管CSP 提供了該功能，但請(qǐng)避免在 root 權(quán)限下運(yùn)行應(yīng)用程序和使用SSH口令。使用公鑰加密進(jìn)行訪問。

　　遵循最小特權(quán)原則。根據(jù)他們各自參與項(xiàng)目或應(yīng)用程序的級(jí)別，限制具有最高訪問權(quán)限的用戶數(shù)量。