随着雲計算技術的逐漸成熟,雲服務憑借高效的管理模式、便捷的使用方式和靈活的付費方式受到了企業、政府、個人使用者的青睐。然而,巨大的市場背後也對雲服務商的營運、維護提出了不小的挑戰。一旦雲端伺服器被不法分子攻擊,使用者資料将面臨嚴重的安全威脅。
正因為便捷,許多人就花幾分鐘開個伺服器,然後就專心于業務的開發和部署了,對于伺服器運維方面,則沒那麼關注。這很像之前面向普通使用者的軟體所提倡的“click it, then forget it”,使用體驗很贊;然而也正是“forget it”,造成了巨大的安全隐患。
騰訊安全旗下騰訊安全聯合實驗室反病毒實驗室和騰訊安全聯合實驗室雲鼎實驗室聯合響應小組,就發現的多起針對騰訊雲Win平台的入侵和資源盜竊攻擊進行了分析,這些攻擊主要集中在内網入侵、挖礦、殭屍電腦利用、DDoS等方面。
為了讓使用者不受惡意軟體侵擾,通過騰訊雲安全中心情報關聯機制,我們幫助使用者清除和防範了這些威脅,讓使用者自己的資源完全掌控在自己手裡。
那麼在雲端黑客最喜歡的攻擊和攻擊後的利用方式是什麼?我們該如何防範這些風險呢?請看下文。
我們分析了這些攻擊中所使用的惡意軟體樣本,并對樣本攔截情況做了相關統計,Top5的樣本攔截次數如下:
來自LapKa後門家族的樣本攻擊非常頻繁,幾乎是其他幾個家族病毒的總和。
同時這5類樣本的新樣本增加也非常多,高峰時期最高達到90/天左右:
病毒頻繁的活動引起了我們的注意,接下來,我們就對這幾類病毒抽絲剝繭,詳細審視一番。
那麼這些威脅有什麼特點呢?一般通過什麼途徑在雲上傳播呢?讓我們接着看:
1,Nitol僵屍網絡家族,騰訊反病毒服務檢出為Lapka和Macri。會感染内網其他機器。
我們在多台伺服器上檢出了該樣本五花八門的變種。之是以感染範圍如此之廣,是因為此類變種會掃描内網然後暴力破解其他主機登入密碼,破解後部署變種在上邊。然後控制伺服器發動DDoS攻擊,監控你的業務,等等。
詳細分析:
1. 木馬在運作開始時設定自身的服務名,并且檢查該服務是否已安裝在系統資料庫中,若已安裝則啟動服務,若未安裝則将自身拷貝到系統目錄,安裝該服務,建立系統資料庫,并啟動服務。
2. 服務啟動之後,會嘗試使用内置的弱密碼字典對内網進行爆破,若爆破成功則對内網機器進行感染傳播,将自身以特定的檔案名複制到内網機器的各磁盤上,并遠端啟動該服務。
3. 服務啟動後,木馬與遠端C&C控制端開始通信,将本機的系統版本、機器名稱、系統的啟動時間、CPU頻率、記憶體大小等資訊上傳至控制端,同時接收并執行遠端控制端發送的指令,包括下載下傳檔案、打開IE浏覽器、進行DDoS攻擊等。
4. Nitol樣本除了暴力破解内網之外,一般和NSA公布的Shadowbreakers漏洞利用套件結合起來傳染部署。在受到感染的機器上,很多都同時存在該漏洞套件的檔案。下圖是在我們幫助下清理威脅的一位客戶機器上的漏洞套件檔案:
2,Remoh,CoinMiner家族。入侵後偷偷在背景挖礦。
這類樣本會偷偷地在背景挖礦,耗掉你大部分cpu資源。
更可惡的是該樣本家族在内網還會通過ftp感染其他機器。同時,此類樣本還會僞裝成屏保或者正常程序,防止使用者發現:
Remoh,CoinMiner家族樣本會通過嵌入在網頁上的IFRAME标簽來強制浏覽器下載下傳木馬檔案,在使用者不知情的情況下在使用者電腦啟動挖礦程序,占用使用者計算資源。
1. 木馬在啟動之後把自身複制到各個磁盤的根目錄。挖礦使用的礦池位址編碼在木馬中,并且将礦池資訊存儲在temp目錄下的文檔中。
2. 木馬挖礦程序所需的參數包括礦池位址、挖礦協定、線程數、錢包位址、密碼,其中池位址從文檔中擷取,同時可以得知所使用的挖礦協定為stratum,其他參數均是從特定網頁中取到。
直接取到的内容為加密資料,以下為其解密算法:
解密後木馬挖礦程序開始進行挖礦,以下為其中一個運作示例:
4. 木馬為了傳播自身,會通過弱密碼字典嘗試通路内網的其他機器,也向多個ip位址發起ftp請求,一旦通路成功則将自身複制到其他機器的各個磁盤,以達到傳播自身的目的。
3,Farfli家族。通過感染宿主檔案,使宿主檔案具備後門能力。
這類樣本會感染常用EXE檔案,染毒的檔案運作之後也會自動運作惡意代碼,執行遠控,繼續感染其他檔案,破壞于無形之中。非常可怕,防不勝防!
1. 木馬啟動後會複制自身到C:\Program Files\Microsoft ******\系統目錄下,并且重命名為7個随機字元的名字,建立程序并添加系統資料庫自啟動項。
2. 然後通過運作新生成的一個vbs腳本将自身删除,同時再将該vbs腳本删除。
3. 啟動的新程序解密出遠端通信位址,建立起與遠端控制端的通信連接配接,接收控制端發來的指令,包括擷取并上傳機器個磁盤的檔案名、記錄鍵盤操作、定時關機等:
安全無小事,處處得留心。針對上述情況,我們準備了些安全小貼士,遵守這些規則可以幫助你規避大多數安全風險:
1, 伺服器請勿使用Admin賬戶和弱密碼。
2, 留意背景不合理資源消耗。
3, 确認使用的軟體時原版檔案。
4, 開啟騰訊雲上“雲鏡”主機防護服務,“雲鏡”已全面接入Tav反病毒引擎。無須擔心上述威脅侵襲。