近年来,云计算凭借其弹性、可扩展等优势,在各行业得到广泛应用。然而,随之而来的安全威胁也不容忽视。本文将聚焦于一种新型的云端威胁,探讨黑客利用误配置的服务器进行加密劫持活动。
漏洞利用与权限提升
攻击者通过一种名为 “Spinning YARN” 的恶意软件,针对存在漏洞的服务器发起攻击。该恶意软件包含四个 Golang payloads,分别用于自动识别和利用易受攻击的 Apache Hadoop YARN、Docker、Atlassian Confluence 和 Redis 服务。
恶意软件利用扫描工具发现这些服务后,会针对不同服务采取相应的攻击手段。例如,针对 Docker 漏洞,会先利用容器逃逸技术获取宿主机的最高权限。随后,攻击者可能利用 Nday 漏洞 (尚未公开的漏洞) 进一步扩大攻击面,在局域网内横向移动,感染更多服务器。
植入后门与加密劫持
在获得初始访问权限后,攻击者会采取一系列措施,确保长期控制权和隐蔽性。首先,他们会部署诸如 libprocesshider 和 diamorphine 等 rootkit 工具隐藏恶意进程,降低被发现的风险。随后,植入 Platypus 开源反向 Shell 工具,方便后续远程操控服务器。
最后,攻击者会部署 XMRig 加密货币挖矿程序,利用服务器资源进行挖矿牟利。整个攻击过程彰显了攻击者对云环境的深入理解,他们能够利用互联网扫描工具发现漏洞服务器,并针对不同云环境的安全机制采取相应的规避手段,例如,禁用安全策略、修改防火墙规则等。值得注意的是,此次攻击活动与以往的加密劫持活动相比,还存在一些更令人担忧的趋势。
值得警惕的趋势
- 攻击目标的扩大: 该攻击事件凸显了攻击者不仅仅局限于 Windows 系统,也包括 Linux 系统。Linux 系统由于其开源特性,存在大量的定制开发环境,一旦安全配置出现疏漏,也容易被黑客利用进行植入后门等恶意行为。
- 攻击手段的多样化: 攻击者不仅仅局限于加密劫持活动,还有可能部署勒索软件等其他恶意程序。例如,Cado 公司在报告中提到,随着像 Abyss Locker 等勒索软件家族的新型 Linux 版本被发现,Linux 和 ESXi 系统也面临着严峻的勒索软件威胁。
- 云服务的新型威胁: 云服务作为一个综合的 IT 基础设施,除了传统的信息安全威胁之外,还面临着新型的威胁,例如滥用人工智能 (AI) 服务进行恶意挖矿等。HiddenLayer 公司的研究人员去年就指出,由于加密挖矿和 AI 应用都需要大量的 GPU 处理能力,一些不法分子可能会将用于 AI 开发的云服务资源用于挖矿牟利。
安全建议
为了防御此类攻击,云服务使用者应当采取以下措施:
- 系统更新与漏洞修复: 定期更新云服务以及相关组件,例如 Docker 容器引擎、Hadoop YARN 等,及时修复已知漏洞。漏洞是攻击者最常利用的切入点之一,及时修复漏洞可以大大降低被攻击的风险。
- 安全配置与权限控制: 加强安全配置,遵循最小权限原则。例如,为不同的用户授予不同的访问权限,避免赋予过高的权限,降低误操作导致的安全事故。同时,要格外注意容器安全,防止容器逃逸事件的发生。
- 安全监控与威胁检测: 部署安全监控工具,例如入侵检测系统 (IDS) 和安全信息和事件管理系统 (SIEM),并进行持续的监控,以便及时发现可疑行为并采取响应措施。
- 安全意识培训: 提高安全意识,加强员工的安全培训。员工的安全意识是云安全的重要防线之一。通过定期进行安全意识培训,可以帮助员工识别网络钓鱼攻击等社会工程学伎俩,降低误点击恶意链接等行为的发生率。
总结
云计算的安全形势严峻,不断涌现的新型威胁手段对使用者提出了更高的安全要求。通过采取积极的防御措施,例如漏洞修复、安全配置、安全监控和安全意识培训等,云服务使用者可以降低被攻击的风险,保障自身的信息安全。同时,云服务提供商也应该不断提升自身平台的安全性,为用户提供更加安全可靠的云计算服务。