实例|阿里巴巴 ECS 实例被挖矿恶意软件主动劫持_双十一|病毒|可趁之机

文章插图
威胁行为者正在劫持阿里巴巴弹性计算服务 (ECS) 实例以安装加密矿工恶意软件并利用可用的服务器资源为自己谋取利益。
阿里巴巴是一家具有全球市场影响力的中国科技巨头，其云服务主要在东南亚使用。
特别是，ECS 服务被宣传为提供快速内存、Intel CPU 和有前途的低延迟操作。更好的是，为了防止诸如加密矿工之类的恶意软件，ECS 附带了一个预装的安全代理。
黑客移除 ECS 安全代理以安装矿工
根据趋势科技的一份报告，阿里巴巴 ECS 的一个问题是缺乏在实例上配置的不同权限级别，所有实例默认都提供 root 访问权限。
【实例|阿里巴巴 ECS 实例被挖矿恶意软件主动劫持】这使得获得登录凭据访问权限的威胁参与者可以以 root 身份通过 SSH 访问目标服务器，而无需任何准备工作(权限提升)。
趋势科技的报告解释说:“威胁行为者在受到攻击时拥有最高可能的特权，包括漏洞利用、任何错误配置问题、弱凭据或数据泄漏。”
此外，这些提升的权限允许威胁行为者创建防火墙规则，丢弃来自属于内部阿里巴巴服务器的 IP 范围的传入数据包，以防止安装的安全代理检测到可疑行为。
然后，威胁参与者可以运行脚本来停止受感染设备上的安全代理。

文章插图
鉴于由于特权提升而植入内核模块 rootkit 和加密劫持恶意软件是多么容易，因此多个威胁行为者竞相接管阿里云 ECS 实例也就不足为奇了。
趋势科技还观察到脚本寻找在恶意软件和后门常用的特定端口上运行的进程，并终止相关进程以删除竞争恶意软件。

文章插图
参与者利用的另一个 ECS 功能是自动扩展系统，该系统使服务能够根据用户请求量自动调整计算资源。
这是为了帮助防止服务中断和突然的流量负担造成的打嗝，但这对加密劫持者来说是一个机会。
通过在目标账户上活跃时滥用它，参与者可以扩大他们的门罗币挖矿能力，并给实例所有者带来额外的成本。
考虑到最佳情况下的计费周期是每月一次，受害者需要一些时间来意识到问题并采取行动。
当自动缩放不可用时，由于矿工利用可用的 CPU 能力，挖矿将导致更直接和明显的减速效果。
应审查所有云服务
阿里巴巴 ECS 是另一个以加密矿工为目标的云服务案例，近期其他引人注目的活动针对 Docker和华为云。
趋势科技已将其调查结果通知阿里巴巴，但尚未收到回复。
如果您使用的是阿里巴巴的云服务，请确保您的安全设置正确并遵循最佳实践。
此外，避免在root权限下运行应用程序，使用密钥访问，并遵循最小权限原则。
对于 ECS，其内置的恶意软件防护是不够的，因此在云环境中添加第二层恶意软件和漏洞检测应该是您标准安全实践的一部分。
#网络安全#
举报/反馈