根据阿里巴巴云安全团队发布的2018年云内挖掘分析报告,每轮流行的0天攻击伴随着加密货币挖掘蠕虫的爆发。加密货币挖掘蠕虫可能通过占用系统资源来中断业务。其中一些甚至携带勒索软件(如XBash),导致企业财务和数据损失。
对于许多企业而言,提高安全级别并防范加密货币挖掘蠕虫的威胁已成为当务之急。本文以外部环境为例,通过早期预防,特洛伊木马蠕虫检测和快速损害控制来解释阿里云的防火墙有效防御加密货币挖掘蠕虫。
我们的安全团队发现了最近的云本地加密货币挖掘特洛伊木马程序,它们由常见的0天和n天漏洞分发。
利用常见漏洞
在过去的一年中,加密货币挖掘蠕虫已利用网络应用程序中的常见漏洞(例如配置错误和弱密码)来持续扫描Internet,发起攻击并破坏主机。下表列出了最近由活动加密货币挖掘蠕虫利用的常见漏洞:
常见漏洞采矿蠕虫家庭SSH,RDP和Telnet破解MyKings和RDPMiner将数据写入Redis中的Crontab以运行命令DDG,Watchdogs,Kworkerd和8220使用UDF在MySQL和SQL Server中运行命令Bulehero,MyKings和ProtonMiner使用CouchDB运行命令8220
利用0天和N天的漏洞
在这些漏洞得到修复之前,加密货币挖掘蠕虫还利用0天和N天的漏洞来破坏大量主机。下表列出了最近由活动加密货币挖掘蠕虫利用的流行的0天和N天漏洞:
保护免受加密货币挖掘蠕虫
阿里云的云防火墙是业内第一款基于SaaS的防火墙产品,可以抵御公共云环境中的这两类漏洞。它可以实时检测和阻止进出外部环境的恶意流量,使企业能够透明地访问应用程序。
防范常见漏洞
基于加密货币挖掘蠕虫破解SSH,RDP和其他协议的方式,云防火墙基本保护支持传统的暴力破解检测方法。例如,它可以计算登录或试错频率阈值,并阻止超过试错阈值的IP地址。此外,它还可以根据您的访问习惯和频率,结合行为模型阻止异常登录,同时确保正常访问畅通无阻。
对于一些常见漏洞,例如将数据写入Redis中的Crontab以运行命令并使用UDF在数据库中运行命令,Cloud Firewall Basic Protection利用阿里云大数据从大量恶意攻击样本中创建精确的防御规则由阿里云安全团队在外部防御中积累。
要启用云防火墙基本保护功能,请选择安全策略>入侵防护>基本防护,然后选择基本策略。然后,选择“流量分析> IPS分析”,查看详细的拦截日志。有关更多信息,请参阅以下屏幕截图:
流行的0天和N天漏洞可能无法及时修复; 这样主机很容易受到加密货币挖掘蠕虫的攻击。云防火墙使用部署在网络上的蜜罐分析异常攻击流量。它还与阿里巴巴云众包安全测试平台共享漏洞情报。通过这种方式,Cloud Firewall可以及时检测到0天和N天漏洞的利用,获取这些漏洞的Poc / Exp,并提前生成虚拟补丁。
要防止活动加密货币挖掘蠕虫利用的高风险漏洞,请选择“安全策略”>“入侵防护”>“虚拟补丁”。下图显示了最近由活动加密货币挖掘蠕虫利用的0天和N天漏洞的虚拟补丁。
即使公共网络边界受到良好的入侵保护,主机仍可能受到加密货币挖掘蠕虫的攻击。例如,加密货币挖掘蠕虫可以通过VPN直接从开发机器传输到生产网络。当用于O&M的系统映像和docker映像植入了挖掘病毒时,可能会导致大规模的主机入侵。
因此,必须实时检测加密货币挖掘蠕虫。利用网络流量分析(NTA)提供的入侵检测功能,云防火墙可以有效地检测主机入侵事件。
借助强大的威胁情报网络,云防火墙可以及时发现常见货币的挖掘池地址,并检测加密货币挖掘木马的下载行为和挖掘池的通用通信协议。此外,它还可以实时识别和警告主机的挖掘行为。
您可以选择“流量分析”>“入侵”来查看事件摘要,受影响的资产以及每个攻击事件的详细信息。要阻止加密货币挖掘特洛伊木马和网络端的挖掘池之间的通信,您只需要在阻止类别中启用拦截模式,只需单击一下即可提交数据。
根据详细信息中的外部地址信息,您可以在其主机上搜索特定进程以快速清除二进制程序。
受损服务器的损坏控制
如果服务器受到加密货币挖掘蠕虫的攻击,云防火墙可以通过阻止恶意文件下载,拦截c&c通信以及在关键业务领域实现增强的访问控制来进一步控制这些木马蠕虫的分发。这减少了进一步的业务和数据损失。
阻止恶意文件下载
恶意文件下载阻止是Basic Protection的重要功能之一。通常,服务器会在被加密货币挖掘蠕虫攻击后下载恶意文件。凭借其恶意文件检测功能,Basic Protection可以检测流量中下载到服务器的文件的安全性,当服务器尝试下载恶意文件并阻止下载时触发警报。
云防火墙基本保护实时更新与常见加密货币挖掘蠕虫相关的各种恶意文件的唯一功能代码和模糊哈希值。当加密货币挖掘蠕虫破坏服务器并进一步下载新的攻击负载时,Basic Protection会恢复下载到服务器的文件,并将其与流量中的功能相匹配,在服务器尝试下载恶意文件时触发警报,并阻止下载。
拦截指挥与控制通信
当加密货币挖掘蠕虫危害服务器时,它们可能与C&C终端通信并接收进一步的恶意行为指令或泄漏敏感数据。在这种情况下,Cloud Firewall Basic Protection会实时拦截通信,如下所示:
下图显示了通过基本保护和威胁情报进行的C&C通信拦截记录。
在关键业务领域实现增强的访问控制
为了满足业务需求,企业通常需要将关键业务或端口保持对整个公共网络的开放。然而,互联网上的群体不断扫描和攻击企业的资产,使细粒度的外部访问控制成为一个巨大的挑战。当主动访问ECS实例,EIP或内部网络时,域名或IP地址的数量是可控的,因为这种外部访问通常是合法的,例如来自DNS和NTP服务。有些企业只需要一些特定的IP地址或域名。因此,通过控制内部和外部域名或IP地址,企业可以防止受损的ECS实例将加密货币挖掘木马从恶意域中拉出,并且还可以阻止特洛伊木马和C&C服务器之间的通信。
Cloud Firewall支持访问控制以及域名(包括通配符域名)和IP地址配置。对于关键业务,企业可以配置细粒度的内部和外部访问控制,即使关键业务的端口仅对特定域名或IP地址开放。上述操作可以有效地防止加密货币挖掘蠕虫的下载和分发,并防止挖掘木马在入侵后幸存并获利。
例如,假设内部网络总共使用六个IP地址进行外部访问,所有NTP服务都被识别为阿里云服务,DNS服务器地址为8.8.8.8。在这种情况下,根据云防火墙的安全建议,企业可以允许来自前六个IP地址的访问请求,并拒绝来自所有其他IP地址的访问请求。上述配置可防止恶意下载和外部C&C连接,而不会影响正常的业务访问。
由于互联网上常见的应用程序漏洞持续存在,频繁的0天漏洞以及采矿活动的高效货币化,加密货币挖掘蠕虫大规模分布。外部用户可以透明地访问云防火墙,以保护其应用程序免受Internet上的各种恶意攻击。此外,随着业务的增长,可以扩展云防火墙,这样您就可以更加关注业务扩展,而无需花费大量时间来保护安全。
更重要的是,依靠其庞大的云端计算能力,云防火墙可以快速感知最新的攻击威胁并链接网络范围的威胁情报,为您提供最佳的安全保护并消除加密货币挖掘蠕虫的威胁。
| 留言与评论(共有 0 条评论) |
