阿里云ECS被加密貨幣挖礦惡意軟件劫持

Alibaba ECS實(shí)例被劫持用于進(jìn)行加密貨幣挖礦。

彈性云服務(wù)器（Elastic Cloud Server）是一種可隨時(shí)自動(dòng)獲取、計(jì)算能力可彈性伸縮的云服務(wù)器，可以為用戶(hù)提供可靠、安全、靈活、高效的應(yīng)用環(huán)境，確保服務(wù)持久穩(wěn)定運(yùn)行，提升運(yùn)維效率。Trend Micro研究人員發(fā)現(xiàn)有攻擊者劫持阿里云ECS實(shí)例來(lái)安裝加密貨幣挖礦惡意軟件，并使用ECS的服務(wù)器資源來(lái)進(jìn)行加密貨幣挖礦。

阿里云ECS

為保護(hù)ECS的安全，ECS都預(yù)裝了安全代理。因此，攻擊者一般會(huì)嘗試卸載惡意軟件。研究人員在該惡意軟件中發(fā)現(xiàn)了可以創(chuàng)建防火墻規(guī)則來(lái)丟棄來(lái)自屬于阿里IP單位的包的代碼。

圖 1. 可以在阿里云EC實(shí)例中創(chuàng)建防火墻規(guī)則的惡意代碼

圖 2. 禁用阿里云安全代理

此外，研究人員還發(fā)現(xiàn)發(fā)現(xiàn)對(duì)同一個(gè)ECS實(shí)例，阿里云ECS服務(wù)器沒(méi)有配置不同的權(quán)限等級(jí)，所有的實(shí)例都默認(rèn)具有root權(quán)限。而其他云服務(wù)提供商都提供了包含不允許通過(guò)用戶(hù)名和密碼登錄只允許非對(duì)稱(chēng)加密認(rèn)證在內(nèi)的最小權(quán)限。

圖 3. 默認(rèn)ECS實(shí)例中的root權(quán)限

因此，攻擊者成功入侵ECS實(shí)例后就有了最高的權(quán)限，包括漏洞利用、錯(cuò)誤配置、弱憑證、數(shù)據(jù)泄露等。此外，還可以部署kernel模塊rootkit等高級(jí)payload、通過(guò)運(yùn)行系統(tǒng)服務(wù)來(lái)實(shí)現(xiàn)駐留等。因此，有多個(gè)攻擊者攻擊阿里云ECS實(shí)例。

圖 4. 權(quán)限利用部署圖

加密貨幣挖礦

加密貨幣挖礦惡意軟件只在阿里云ECS中運(yùn)行時(shí)，安裝的安全代理就會(huì)發(fā)送惡意腳本正在運(yùn)行的通知。然后用戶(hù)負(fù)責(zé)阻止感染和其他惡意活動(dòng)。阿里云提供了如何操作的指南，但是這些具體的操作都是由用戶(hù)來(lái)操作實(shí)現(xiàn)的，也是用戶(hù)的負(fù)責(zé)預(yù)防感染發(fā)生。

圖 5. 加密貨幣挖礦惡意軟件實(shí)例

從另外一個(gè)惡意軟件樣本中可以看出，安全代理在觸發(fā)系統(tǒng)被入侵的安全警告前就被卸載了。然后惡意軟件樣本會(huì)安裝XMRig挖礦機(jī)。

需要注意的是阿里云ECS有一個(gè)自動(dòng)擴(kuò)展的功能，用戶(hù)或企業(yè)可以根據(jù)用戶(hù)請(qǐng)求量的大小自動(dòng)調(diào)整計(jì)算資源。用戶(hù)請(qǐng)求增加時(shí)，自動(dòng)擴(kuò)展功能就會(huì)讓ECS實(shí)例根據(jù)策略應(yīng)答更多的請(qǐng)求。加密貨幣挖礦機(jī)會(huì)導(dǎo)致用戶(hù)的計(jì)算資源迅速擴(kuò)展，引發(fā)額外的費(fèi)用。

圖 6. 惡意軟件卸載安全代理的方式舉例

研究人員從攻擊阿里云的惡意軟件樣本分析發(fā)現(xiàn)，這些樣本與攻擊華為云的惡意軟件樣本具有很多相似之處。

圖 7. 攻擊阿里云（左）和華為云（右）的樣本比較

參考及來(lái)源：https://www.trendmicro.com/en_us/research/21/k/groups-target-alibaba-ecs-instances-for-cryptojacking.html