關鍵詞 惡意軟件

　　Alibaba ECS實例被劫持用于進行加密貨幣挖礦。

　　彈性云服務器（Elastic Cloud Server）是一種可隨時自動獲取、計算能力可彈性伸縮的云服務器，可以為用戶提供可靠、安全、靈活、高效的應用環(huán)境，確保服務持久穩(wěn)定運行，提升運維效率。Trend Micro研究人員發(fā)現有攻擊者劫持阿里云ECS實例來安裝加密貨幣挖礦惡意軟件，并使用ECS的服務器資源來進行加密貨幣挖礦。

　　阿里云ECS

　　為保護ECS的安全，ECS都預裝了安全代理。因此，攻擊者一般會嘗試卸載惡意軟件。研究人員在該惡意軟件中發(fā)現了可以創(chuàng)建防火墻規(guī)則來丟棄來自屬于阿里IP單位的包的代碼。

　　圖 1. 可以在阿里云EC實例中創(chuàng)建防火墻規(guī)則的惡意代碼

　　圖 2. 禁用阿里云安全代理

　　此外，研究人員還發(fā)現發(fā)現對同一個ECS實例，阿里云ECS服務器沒有配置不同的權限等級，所有的實例都默認具有root權限。而其他云服務提供商都提供了包含不允許通過用戶名和密碼登錄只允許非對稱加密認證在內的最小權限。

　　圖 3. 默認ECS實例中的root權限

　　因此，攻擊者成功入侵ECS實例后就有了最高的權限，包括漏洞利用、錯誤配置、弱憑證、數據泄露等。此外，還可以部署kernel模塊rootkit等高級payload、通過運行系統(tǒng)服務來實現駐留等。因此，有多個攻擊者攻擊阿里云ECS實例。

　　圖 4. 權限利用部署圖

　　加密貨幣挖礦

　　加密貨幣挖礦惡意軟件只在阿里云ECS中運行時，安裝的安全代理就會發(fā)送惡意腳本正在運行的通知。然后用戶負責阻止感染和其他惡意活動。阿里云提供了如何操作的指南，但是這些具體的操作都是由用戶來操作實現的，也是用戶的負責預防感染發(fā)生。

　　圖 5. 加密貨幣挖礦惡意軟件實例

　　從另外一個惡意軟件樣本中可以看出，安全代理在觸發(fā)系統(tǒng)被入侵的安全警告前就被卸載了。然后惡意軟件樣本會安裝XMRig挖礦機。

　　需要注意的是阿里云ECS有一個自動擴展的功能，用戶或企業(yè)可以根據用戶請求量的大小自動調整計算資源。用戶請求增加時，自動擴展功能就會讓ECS實例根據策略應答更多的請求。加密貨幣挖礦機會導致用戶的計算資源迅速擴展，引發(fā)額外的費用。

　　圖 6. 惡意軟件卸載安全代理的方式舉例

　　研究人員從攻擊阿里云的惡意軟件樣本分析發(fā)現，這些樣本與攻擊華為云的惡意軟件樣本具有很多相似之處。