阿里云ECS被加密貨幣挖礦惡意軟件劫持

Alibaba ECS實例被劫持用于進行加密貨幣挖礦。

彈性云服務(wù)器（Elastic Cloud Server）是一種可隨時自動獲取、計算能力可彈性伸縮的云服務(wù)器，可以為用戶提供可靠、安全、靈活、高效的應(yīng)用環(huán)境，確保服務(wù)持久穩(wěn)定運行，提升運維效率。Trend Micro研究人員發(fā)現(xiàn)有攻擊者劫持阿里云ECS實例來安裝加密貨幣挖礦惡意軟件，并使用ECS的服務(wù)器資源來進行加密貨幣挖礦。

阿里云ECS

為保護ECS的安全，ECS都預(yù)裝了安全代理。因此，攻擊者一般會嘗試卸載惡意軟件。研究人員在該惡意軟件中發(fā)現(xiàn)了可以創(chuàng)建防火墻規(guī)則來丟棄來自屬于阿里IP單位的包的代碼。

圖 1. 可以在阿里云EC實例中創(chuàng)建防火墻規(guī)則的惡意代碼

圖 2. 禁用阿里云安全代理

此外，研究人員還發(fā)現(xiàn)發(fā)現(xiàn)對同一個ECS實例，阿里云ECS服務(wù)器沒有配置不同的權(quán)限等級，所有的實例都默認具有root權(quán)限。而其他云服務(wù)提供商都提供了包含不允許通過用戶名和密碼登錄只允許非對稱加密認證在內(nèi)的最小權(quán)限。

圖 3. 默認ECS實例中的root權(quán)限

因此，攻擊者成功入侵ECS實例后就有了最高的權(quán)限，包括漏洞利用、錯誤配置、弱憑證、數(shù)據(jù)泄露等。此外，還可以部署kernel模塊rootkit等高級payload、通過運行系統(tǒng)服務(wù)來實現(xiàn)駐留等。因此，有多個攻擊者攻擊阿里云ECS實例。

圖 4. 權(quán)限利用部署圖

加密貨幣挖礦

加密貨幣挖礦惡意軟件只在阿里云ECS中運行時，安裝的安全代理就會發(fā)送惡意腳本正在運行的通知。然后用戶負責(zé)阻止感染和其他惡意活動。阿里云提供了如何操作的指南，但是這些具體的操作都是由用戶來操作實現(xiàn)的，也是用戶的負責(zé)預(yù)防感染發(fā)生。

圖 5. 加密貨幣挖礦惡意軟件實例

從另外一個惡意軟件樣本中可以看出，安全代理在觸發(fā)系統(tǒng)被入侵的安全警告前就被卸載了。然后惡意軟件樣本會安裝XMRig挖礦機。

需要注意的是阿里云ECS有一個自動擴展的功能，用戶或企業(yè)可以根據(jù)用戶請求量的大小自動調(diào)整計算資源。用戶請求增加時，自動擴展功能就會讓ECS實例根據(jù)策略應(yīng)答更多的請求。加密貨幣挖礦機會導(dǎo)致用戶的計算資源迅速擴展，引發(fā)額外的費用。

圖 6. 惡意軟件卸載安全代理的方式舉例

研究人員從攻擊阿里云的惡意軟件樣本分析發(fā)現(xiàn)，這些樣本與攻擊華為云的惡意軟件樣本具有很多相似之處。

圖 7. 攻擊阿里云（左）和華為云（右）的樣本比較

參考及來源：https://www.trendmicro.com/en_us/research/21/k/groups-target-alibaba-ecs-instances-for-cryptojacking.html