根據阿裡雲安全團隊釋出的《2018年雲上挖礦分析報告》顯示,過去一年中,每一波熱門0 Day的出現都伴随着挖礦蠕蟲的爆發性傳播,挖礦蠕蟲可能因為占用系統資源導緻業務中斷,甚至還有部分挖礦蠕蟲同時會捆綁勒索病毒(如XBash等)給企業帶來資金與資料的損失。
如何提升企業的安全水位,抵禦挖礦蠕蟲的威脅成為每個企業都在思考的問題。本文以雲上環境為例,從挖礦蠕蟲的防禦、檢測和入侵後如何迅速止血三方面來闡述阿裡雲雲防火牆如何全方位抵禦挖礦蠕蟲。
1.挖礦蠕蟲的防禦
1.1 挖礦蠕蟲的傳播方式
據阿裡雲安全團隊觀察,雲上挖礦蠕蟲主要利用網絡上普遍存在的通用漏洞和熱門的0 Day/N Day漏洞進行傳播。
1.1.1 通用漏洞利用
過去一年挖礦蠕蟲普遍會利用網絡應用上廣泛存在的通用漏洞(如配置錯誤、弱密碼等)對網際網路持續掃描和攻擊,以對主機進行感染。下表是近期活躍的挖礦蠕蟲廣泛利用的通用漏洞:
1.1.2 0 Day/N Day漏洞利用
0 Day/N Day在網絡上未被修複的視窗期也會被挖礦蠕蟲利用,迅速進行大規模的感染。下表是近期活躍的挖礦蠕蟲利用過的熱門0 Day/N Day漏洞:
1.2 挖礦蠕蟲的防禦
針對這兩類利用方式,阿裡雲雲防火牆作為業界首款公共雲環境下的SaaS化防火牆,應用可以透明接入,可以對雲上進出網絡的惡意流量進行實時檢測與阻斷,在防禦挖礦蠕蟲方面有着獨特優勢。
1.2.1 通用漏洞的防禦
針對挖礦蠕蟲對SSH/RDP等進行暴力破解的攻擊方式,雲防火牆的基礎防禦支援正常的暴力破解檢測方式,如登入或試錯頻次門檻值計算,對超過試錯門檻值的行為進行IP限制,還支援在使用者的通路習慣、通路頻率基線的基礎上,結合行為模型在保證使用者正常通路不被攔截的同時對異常登陸進行限制。
針對一些通用的漏洞利用方式(如利用Redis寫Crontab執行指令、資料庫UDF進行指令執行等),雲防火牆的基礎防禦基于阿裡雲的大資料優勢,利用阿裡雲安全在雲上攻防對抗中積累的大量惡意攻擊樣本,可以形成精準的防禦規則,具有極高的準确性。
若您需要開啟雲防火牆的基礎防禦,隻需要在安全政策->入侵防禦->基礎防禦配置欄勾選基礎規則即可,當基礎防禦開啟後,在網絡流量分析->IPS阻斷分析中可以看到詳細的攔截日志,相關參考如下:
1.2.2 0 Day/N Day漏洞防禦
由于熱門0 Day/N Day漏洞修複不及時,被挖礦蠕蟲利用感染的風險較大。雲防火牆通過結合全網部署的蜜罐分析異常攻擊流量和阿裡雲先知平台漏洞情報的共享,可以及時發現針對0 Day/N Day的漏洞利用,第一時間擷取漏洞poc/exp,并落地形成虛拟更新檔,在與黑客的攻防對抗中占得時間先機。
使用者可以在【安全政策->入侵防禦->虛拟更新檔】配置欄中可以開啟目前熱門挖礦蠕蟲所利用的高危漏洞,下圖是近期活躍的挖礦蠕蟲各自利用過的0 Day/N Day漏洞對應的虛拟更新檔。
2. 挖礦蠕蟲的檢測
在與蠕蟲攻防對抗中,即使在公網邊界做好入侵防禦措施仍有可能感染挖礦蠕蟲。比如挖礦蠕蟲可以通過VPN直接由開發機傳播到生産網,也有由于運維使用的系統鏡像、Docker鏡像就已經被植入挖礦病毒,進而導緻大規模感染的爆發。
是以,針對挖礦蠕蟲的即時感覺至關重要。雲防火牆通過NTA(Network Traffic Analysis)能力提供的入侵檢測功能,能夠有效發現挖礦蠕蟲感染事件。
利用雲上強大的威脅情報網,雲防火牆可以及時發現常見貨币的礦池位址、檢測挖礦木馬的下載下傳行為和常見的礦池通信協定,實時識别主機的挖礦行為,并及時告警。
使用者可以通過【網絡流量分析->入侵檢測】中看到每次攻擊事件的摘要、影響資産、事件詳情等類目資訊,使用者隻需在一鍵防禦類目中打開攔截模式,一鍵送出,即可在網絡端阻斷挖礦木馬與礦池的通信。
依據詳情提供的外聯位址資訊,使用者可以在主機端查找到相應的程序快速清理二進制程式。
3.入侵後如何快速止血?
若伺服器已感染挖礦蠕蟲,雲防火牆可以從惡意檔案下載下傳阻斷、中控通信攔截、重點業務區強通路控制三方面控制蠕蟲進一步傳播,減少業務和資料的進一步損失。
3.1 惡意檔案下載下傳阻斷
惡意檔案下載下傳防禦是基礎防禦中重要功能之一,伺服器在感染挖礦蠕蟲後通常會進行惡意檔案下載下傳,基礎防禦內建惡意檔案檢測能力,對下載下傳至伺服器的檔案在流量中進行安全檢測,在檢測到嘗試下載下傳惡意檔案時進行告警并阻斷。
雲防火牆基礎防禦能力會實時更新常見挖礦蠕蟲的各類惡意檔案的唯一性特征碼和檔案模糊hash,在挖礦蠕蟲入侵成功/進一步下載下傳更新新的攻擊載荷時,會對下載下傳至伺服器的檔案在流量中進行檔案還原及特征比對,對檢測到嘗試下載下傳惡意檔案時進行告警并阻斷。
3.2 中控通信攔截
在感染挖礦蠕蟲後,針對挖礦蠕蟲可能和C&C控制端進行通信,接收進一步的惡意行為指令或者向外洩漏敏感資料等,雲防火牆的基礎防禦功能進行實時攔截主要通過以下三方面來實作:
- 通過分析和監控全網蠕蟲資料和中控伺服器通訊流量,可以對異常通訊流量特征化,落地形成中控通信檢測特征,通過實時監控中控通信變化,不斷的提取攻擊特征,確定及時檢測到攻擊行為;
- 通過自動學習曆史流量通路資訊,建立異常流量檢測模型,挖掘潛在的未知挖礦蠕蟲資訊;
- 利用大資料可視化技術對全網IP通路行為關系進行畫像,利用機器學習發現異常IP及通路域,并關聯全網攻擊資料,最終落地形成中控威脅情報庫,進而可以對伺服器流量通信進行情報比對,實時阻斷惡意的中控連接配接通信。
下圖是通過基礎防禦和威脅情報對中控通信攔截的記錄:
3.3 重點業務區強通路控制
由于業務本身需要,重點業務通常需要将服務或端口對全公網開放,而來自網際網路的掃描、攻擊卻無時不刻窺探企業的資産,對外部的通路控制很難做到細粒度管控。而對某一台ECS、某一個EIP或内部網絡主動外聯場景下,域名或IP數量其實都是可控的,因為該類外聯通常都是進行合法的外聯通路,例如DNS、NTP服務等,少量企業自身業務需要也通常隻是少許特定IP或域名,故通過對内對外的域名或IP進行管控,可以很好的防止ECS主機被入侵之後,從惡意域名下拉挖礦木馬或木馬與C&C進行通信等行為。
雲防火牆支援通路控制功能,支援域名(含泛域名)和IP配置。針對重點業務的安全問題,可以通過配置一個強粒度的内對外通路控制,即重要業務端口隻允許特定域名或者特定的IP進行通路,其他一律禁止。通過以上操作可以很有效的杜絕挖礦蠕蟲下載下傳、對外傳播,防止入侵後階段的維持與獲利。
例如以下場景中,内網對外通路的總IP數為6個,其中NTP全部辨別為阿裡雲産品,而DNS為我們所熟知的8.8.8.8,通過雲防火牆的安全建議,我們可以将上述6個IP進行放行,而對其他IP通路進行全部拒絕。通過如上的配置,在不影響正常業務通路的情況下,防止其他如上提及到的惡意下載下傳、C&C通信的對外連接配接行為。
結語
由于網際網路上持續存在的通用應用漏洞、0 Day漏洞的頻發、以及挖礦變現的高效率,挖礦蠕蟲大規模蔓延。雲上客戶可以通過透明接入雲防火牆,保護自身應用不受網際網路上各種惡意攻擊的威脅。同時雲防火牆可以伴随客戶業務水準彈性擴容,讓客戶更多的關注業務的擴充,不需要花費更多精力投入在安全上。
更重要的是,雲防火牆依托雲上海量的計算能力,能夠更快的感覺最新的攻擊威脅、并且關聯全網的威脅情報給使用者最佳的安全防護,使使用者免于挖礦蠕蟲威脅。
附:《2018年雲上挖礦報告》下載下傳位址:
https://yq.aliyun.com/download/3312