據(jù)趨勢科技研究人員11月15日發(fā)布的博文,，惡意威脅行為者正在利用阿里云ECS實(shí)例中的功能以進(jìn)行門羅幣加密劫持,。網(wǎng)絡(luò)犯罪分子的目標(biāo)是阿里巴巴彈性計算服務(wù)（ECS）實(shí)例,，禁用某些安全功能以進(jìn)一步實(shí)現(xiàn)他們的加密劫持目標(biāo),。阿里云提供了一些獨(dú)特的選項,，使其成為攻擊者極具吸引力的目標(biāo),。

　　眾所周知,，威脅行為者正在積極利用配置錯誤的linux服務(wù)器，不管它們是運(yùn)行在本地還是在云中,。這些被泄露的設(shè)備大多用于加密劫持目的,，主要用于挖掘數(shù)字貨幣Monero。一個臭名昭著的例子是TeamTNT,，它是第一批將重點(diǎn)轉(zhuǎn)向云服務(wù)的黑客組織之一,。

　　加密劫持戰(zhàn)場由Kinsing和TeamTNT等多個威脅參與者共享。它們在代碼中共享的兩個共同特征是刪除也在挖掘加密貨幣的競爭參與者,，并禁用在受害機(jī)器中發(fā)現(xiàn)的安全功能,。這為他們提供了相對于被劫持資源的優(yōu)勢，例如針對華為云確定的先進(jìn)系統(tǒng)衛(wèi)生設(shè)施的例子,。

　　趨勢科技將重點(diǎn)關(guān)注在多個有效負(fù)載中發(fā)現(xiàn)的一個常見功能：阿里云服務(wù)提供商（CSP）內(nèi)部功能的禁用,。研究人員還分析了多個威脅行為者和惡意程序集中在阿里云上的可能原因，以及這些非法挖掘活動對阿里云用戶的影響,。

　　趨勢科技在博客發(fā)表之前,，已經(jīng)通過阿里云團(tuán)隊給出的聯(lián)系方式與他們?nèi)〉昧寺?lián)系，正在等待阿里云方面對此問題的回應(yīng),。

　　阿里云的ECS

　　阿里云的彈性計算服務(wù)（ECS）實(shí)例自帶安全代理,。因此，威脅參與者試圖在入侵利用時卸載它,。這并不奇怪,，因為過去看到過類似的有效載荷。然而,，這次趨勢科技的研究人員在惡意軟件中發(fā)現(xiàn)了一個特定的代碼,，它創(chuàng)建了防火墻規(guī)則，丟棄來自阿里云內(nèi)部區(qū)域和地區(qū)的IP范圍的數(shù)據(jù)包,。

　　圖1 阿里云電子商務(wù)實(shí)例的一個樣本,，帶有創(chuàng)建防火墻規(guī)則的特定惡意代碼

　　圖2 禁用阿里安全代理

　　此外，默認(rèn)的阿里云ECS 實(shí)例提供root訪問權(quán)限,。雖然其他CSP提供了不同的選項，包括最低特權(quán)的選項——例如不允許通過用戶名和口令進(jìn)行 Secure Shell （SSH） 身份驗證和只允許非對稱加密身份驗證——但其他 CSP默認(rèn)不允許用戶直接通過SSH登錄,，所以需要一個權(quán)限較低的用戶,。

　　例如，如果登錄機(jī)密被泄露,，獲得低權(quán)限訪問將需要攻擊者加大力度提升權(quán)限,。但是，對于阿里云,，所有用戶都可以選擇直接向虛擬機(jī) （VM） 內(nèi)的root用戶提供口令,。

　　圖片圖 3. 默認(rèn)ECS實(shí)例的 Root 權(quán)限

　　在安全方面,，這與最小權(quán)限原則相矛盾，需要強(qiáng)調(diào)的是,，這是用戶對安全配置的責(zé)任,。趨勢科技強(qiáng)烈建議創(chuàng)建一個較低權(quán)限的用戶來在ECS實(shí)例中運(yùn)行應(yīng)用程序和服務(wù)。

　　在這種情況下,，威脅行為者在攻擊時擁有最高可能的特權(quán),，包括漏洞利用、任何錯誤配置問題,、弱憑據(jù)或數(shù)據(jù)泄漏,。因此，可以部署高級負(fù)載,，例如內(nèi)核模塊rootkit和通過運(yùn)行系統(tǒng)服務(wù)實(shí)現(xiàn)持久性,。鑒于此功能，多個威脅攻擊者只需插入用于刪除僅在阿里巴巴ECS發(fā)現(xiàn)的軟件的代碼片段即可將目標(biāo)對準(zhǔn)阿里云ECS,，這也就不足為奇了,。

　　圖 4. 作為高權(quán)限濫用示例的diamorphine部署

　　利用阿里云的加密劫持

　　當(dāng)加密劫持惡意軟件在阿里ECS中運(yùn)行時，安裝的安全代理會發(fā)送惡意腳本運(yùn)行的通知,。然后,，用戶有責(zé)任停止正在進(jìn)行的感染和惡意活動。阿里云安全提供了有關(guān)如何執(zhí)行此操作的指南,。更重要的是,，用戶有責(zé)任首先防止這種感染的發(fā)生。

　　圖片圖 5. 加密劫持惡意軟件示例

　　盡管檢測到,，安全代理仍無法清除正在運(yùn)行的危害并被禁用,。查看另一個惡意軟件樣本表明，安全代理在觸發(fā)入侵警報之前也已被卸載,。然后示例繼續(xù)安裝 XMRig,。進(jìn)一步檢查樣本表明，加密礦工（cryptominer） 可以很容易地替換為另一種惡意軟件,，以便在環(huán)境中執(zhí)行,。

　　還需要注意的是，阿里ECS具有Auto Scaling功能,，用戶和組織可以啟用該服務(wù),，根據(jù)用戶請求量自動調(diào)整計算資源。當(dāng)需求增加時,，Auto Scaling允許ECS實(shí)例根據(jù)枚舉的策略為所述請求提供服務(wù),。雖然該功能是免費(fèi)提供給訂閱者的，但資源使用量的增加會導(dǎo)致額外收費(fèi)。當(dāng)賬單到達(dá)不知情的組織或用戶時,，加密礦工可能已經(jīng)產(chǎn)生了額外的成本,。此外，合法訂閱者必須手動刪除感染以清理危害的基礎(chǔ)設(shè)施,。

　　圖 6. 惡意軟件使用的安全代理卸載例程示例

　　趨勢科技團(tuán)隊獲取的樣本可能與針對阿里云的活動相關(guān)聯(lián),，趨勢科技發(fā)現(xiàn)這些樣本與其他同樣針對亞洲 CSP 的活動（例如華為云）具有共同的特征、功能和能力,。還有其他關(guān)于這些攻擊檢測的報告,。

　　圖 7. 比較受感染的阿里云（左）和華為云（右）的樣本。

　　來自兩個活動的樣本具有共同特征,，尤其是在消除“對手”和為下一階段感染設(shè)置環(huán)境方面,，例如確保使用公共 DNS。盡管編碼風(fēng)格不同,，但兩種攻擊的功能目的是相似的,。

　　減輕威脅對阿里ECS工作負(fù)載的影響

　　性能損失是在阿里云基礎(chǔ)設(shè)施中運(yùn)行加密劫持活動的后果之一，因為加密挖掘過程會消耗大量資源,。此外,，在用戶使用 Auto Scaling 功能設(shè)置他們的實(shí)例的情況下，他們最終可能會產(chǎn)生意外的訂閱成本,。

　　攻擊者可以輕松地擴(kuò)展攻擊的規(guī)模,，因此還可以輕松地用另一種惡意軟件替換惡意加密礦工，這可能會為他們帶來更多利潤或傳播到其他工作負(fù)載和端點(diǎn),。由于以高用戶權(quán)限滲透到環(huán)境中是多么容易,，因此可以對項目或基礎(chǔ)設(shè)施進(jìn)行后續(xù)攻擊。趨勢科技繼續(xù)研究可以部署在基礎(chǔ)設(shè)施中的惡意活動,。趨勢科技還在此處列出了一些組織可以遵循的最佳實(shí)踐：

　　踐行責(zé)任共擔(dān)模式,。無論電信運(yùn)營商和用戶有責(zé)任確保工作負(fù)載，項目的安全配置和環(huán)境是安全的,。通讀指南,，自定義并相應(yīng)地啟用工作負(fù)載和項目的安全層。啟用最能幫助保護(hù)云環(huán)境并確保其具有不止一層惡意軟件掃描和漏洞檢測工具的策略,。

　　自定義云項目和工作負(fù)載的安全功能,。盡管CSP 提供了該功能，但請避免在 root 權(quán)限下運(yùn)行應(yīng)用程序和使用SSH口令,。使用公鑰加密進(jìn)行訪問,。

　　遵循最小特權(quán)原則。根據(jù)他們各自參與項目或應(yīng)用程序的級別,，限制具有最高訪問權(quán)限的用戶數(shù)量,。