幾個月前RedLock公司從業人員發現:數百個Kubernetes管理控制台無需密碼即可通路,即直接公開暴露在網際網路之上。
經過專家研究發現這些管控台被黑客們蓄意利用從事非法“挖礦”。技術極客慘遭黑手,我們應該如何防患于未然?
在特斯拉的被“挖礦”事故之前,英國國際保險公司Aviva和全球最大SIM卡制造商Gemalto也曾中招。這些公司都分别采用了兩家國際雲計算巨頭公司的公有雲服務,其管控台的通路權限無需密碼登入授權而直接暴露給外界,而黑客們則利用這些暴露的計算執行個體挖掘加密貨币。
加密貨币挖掘的WannaMine惡意軟體中有一個Mimikatz的工具從計算機存諸器中拉取密碼,并入侵到網絡中的其他電腦中,随後将所控制的計算資源“神不知鬼不覺”地挖掘一種Monero加密貨币。不知道大家是否還記得曾經在2017年5月感染超過100個國家10萬台電腦、引發全球恐慌的WannaCry勒索事件,彼時利用的是NSA漏洞永恒之藍;而Mimikatz工具可以繞開對永恒之藍漏洞的依賴,逃避哪怕是已經被完善修補的電腦的檢測。
這些黑客們盜用其他人的計算資源,挖掘加密貨币為自己非法牟利。目标群體是那些高流量的大型網站,比如美國三大新聞網絡之一CBS的付費影片服務“Showtime”等發現有“挖币”程式,會利用網頁浏覽者們的電腦處理器資源。
有關機構曾經統計受黑客挖币影響最嚴重的前十個國家:
RedLock專家們發現特斯拉成為受害者,黑客們潛入到了沒有密碼保護的Kubernetes管控台。在一個Kubernetes pod裡面,盜取了Tesla的公有雲環境的通路權限,而對應公有雲環境中則存放着如telemetry的敏感資料。
除了裸露的資料之外,RedLock還注意到此次攻擊中一些更為複雜的檢測躲避手段。
首先,沒有使用知名的公共“礦池”。他們安裝挖礦軟體,并通過惡意腳本連結上未列出/半公共端點。其次,黑客通過CloudFlare隐藏了礦池伺服器的真實IP位址,CloudFalre是一個免費的CDN服務。通過該服務獲得新的IP位址。是以常見标準的基于IP或域的探測很難檢測到此類惡意行為。
挖礦軟體監聽的是非标準端口,基于端口的惡意檢測也變得很困難。
黑客們的挖礦軟體保持“低調”,沒有造成CPU使用過高,資源的占用不易被發現。
雖然特斯拉等公司采用了公有雲供應商的服務,但是這個鍋也不能完全扣在供應商頭上,畢竟是因使用者自己沒有配置密碼而導緻。
阿裡雲容器服務Kubernetes叢集配置了證書登入,并且關閉了非安全的本地端口,安全系數較高。即使使用者沒有配置密碼登入,叢集通路也會進行證書校驗,不會造成防線一觸即潰的危局。
同時,還應該注意提高監控能力 。對配置、網絡流量、可疑的使用者行為等進行監控。首先,研發成員可能會忽視安全組規則,公司應該檢測風險,自動地發現相關資源的建立、 決定資源上的應用程式,并根據資源和應用程式類型采用恰當的政策;Kubernetes控制台沒有設定密碼自然會被檢測出來。其次,如果關聯了網絡流量與配置資料,特斯拉就可以檢測到Kubernetes pod中産生的可疑流量。最後,不僅要檢測基于地理位置或時間的異常,還要識别是否有異常事件。