“雲”越來越不陌生,雲上龐大的資産也成為不法分子觊觎的對象,他們喜歡窺探各處的資訊,并使用工具,批量掃描、利用漏洞入侵機器,達到控制機器的效果;他們利用一個漏洞就能完成一系列操作,在你的裝置上留下後門,進行挖礦、DDoS 等行為。
2016-2017年
Petya、WannaCry 勒索病毒相繼出現,國内外多家大型企業被攻擊,政府、銀行、電力系統、通訊系統不同程度被影響;
2016年10月,美國東部大規模網絡癱瘓,大量知名平台受到 DDoS 攻擊。
2017年10月
某汽車廠商的公有雲基礎設施被爆曾遭黑客入侵,地圖、遙測和車輛服務有關的一些專有資料均發現盜取痕迹,黑客甚至還利用該賬号借雲平台挖礦。而被入侵原因卻簡單到你可能不信:工程師沒有給 Kubernetes 伺服器設定通路密碼。
2018年1月
2018年1月,荷蘭三大銀行遭 DDoS 攻擊,服務集體癱瘓;
2018年2月,知名代碼托管平台遭遇大規模 Memcached DDoS 攻擊,流量峰值高達1.35 Tbps,攻擊峰值在3月又創新高達1.7 Tbps。
2018年8月、12月
暗網相繼出現兩家知名酒店集團客戶資料售賣帖。
2019年2月
公有雲平台及大量外部 Linux 伺服器因存在安全漏洞被入侵,租戶伺服器被植入隐藏性挖礦蠕蟲病毒 watchdogs。
…
雲上常見四大風險
你聽過的這些案例,其實都跟雲緊密關聯,雲上攻擊,發生得離我們越來越近,騰訊安全雲鼎實驗室将常見的幾大風險歸納如下。
01
暴力破解
攻擊者通過已經擁有的使用者名和密碼字典,一個一個去枚舉,嘗試登入。
雲伺服器登入密碼就像密碼門鎖的密碼,假如這把鎖的密碼隻有6位數字,那麼小偷做10w次之内的嘗試就可以成功,當小偷有專門的工具,幾秒鐘之内就能自動破解。
02
入侵挖礦
攻擊者入侵機器後,占用機器資源,利用受害者的機器下載下傳軟體,然後運作特定算法,與遠方伺服器通訊後可得到相應比特币、門羅币。
假如你開了個工廠,請100個勞工,而挖礦就像把你的勞工全騙走,幫别人工作。最後你發現自己的訂單無法完成。
03
加密勒索
入侵機器擷取權限後,将所有有價值的資訊全部加密,受害者交出“贖金”才會給出解密方法,或者直接銷毀。
好比有小偷溜進家後,給你的保險箱上了一道鎖,而你的所有重要資料都在這保險箱裡面。隻有給錢才幫你開鎖,當然,也有那種收了錢“撕票”的情況。
04
DDoS 攻擊
分布式拒絕服務攻擊,攻擊者向目标發送大量網際網路流量,使得受害者機器“拒絕服務”。
正在營業的飯店,卻被店門口一大堆無業遊民堵得水洩不通,無法正常營業。
……
雲安全風險應對措施
在網際網路上,每當我們有服務開放到外網端口,就會發現自己的機器被大量掃描的痕迹,看不見的入侵者正虎視眈眈。除 Windows、Linux 系統的伺服器之外, IoT 裝置也是目标之一。它們被入侵的原因有很多,最核心原因有服務的未授權通路、弱密碼、系統和軟體漏洞,這些主要是使用者的運維不當或者沒有及時更新更新檔等才導緻漏洞産生和被利用。
應對這些問題,主要解決方案如下:
1、Redis,MySQL,MongoDB 等應用需要設定密碼,限制 IP 通路,并更新到最新版;
2、把登入密碼盡量設定複雜一些,最好包含數字,大小寫字母,特殊符号,限制登入 IP,Linux 最好能限制隻使用密鑰登入;
3、關注微軟釋出的更新檔,關注使用軟體的最新安全公告,如 Jenkins、WordPress、Struts2、JBoss 等,及時更新到最新版本或修補舊版本漏洞;
PS:DDoS 攻擊的應對措施,隻有一種選擇,防患于未然,購買安全産品部署防護。
金融公司内網登入困難,
為何連帶影響它的客戶?
雲鼎實驗室服務過的某家金融公司,員工發現内網的機器開始變得很難登入,登入上之後也一直卡頓,更麻煩的是,這種情況還在繼續蔓延,已經影響自家客戶公司的正常辦公。内部技術人員排查一番後無果。
與此同時,v2ex、微網誌上已有使用者表示碰到了相同情況,發現自己的 crontab 被修改,就算删除了 crontab 也會被再次添加,但是記憶體和 CPU 均未發現異常。
一籌莫展之時,該公司的技術人員關注到雲鼎實驗室釋出的該病毒分析文章,這才解了疑惑,明白機器中了一種新型的 watchdogs 隐藏性挖礦蠕蟲病毒。
這種病毒會通過漏洞植入挖礦病毒和隐藏子產品。挖礦病毒會導緻客戶的伺服器卡頓,CPU 占用率居高不下。而植入的病毒還會在内網進行 SSH 掃描,使得更多的内網機器中招。除了這些病毒的“正常操作”,watchdogs 病毒還能隐藏自己,常用的 linux 指令 ps、ls、rm 等對它根本不起作用,導緻大家用普通方式檢視記憶體和 CPU 都發現不了異常,就算發現了,也沒辦法删除惡意檔案。
雲鼎實驗室通過逆向分析,梳理出了 watchdogs 的脈絡,如圖:
那麼,為什麼 watchdogs 病毒可以隐藏自己呢?
Linux 系統中提供了一種加載動态庫的方式,即把需要調用的動态連結庫的路徑寫入/etc/ld.so.preload檔案。watchdogs 使用 Linux 的這種機制,通過加載自己實作的一個動态連結庫 libioset.so,實作了對程序的隐藏,這個動态連結庫隐藏了自身和相關的檔案,如下圖:
此動态連結庫還 Hook 了一些核心函數,如 readdir、rmdir,導緻 ls 和 rm 等指令無效,如下圖:
找到病毒隐藏的原理,清理就比較輕松了,根據雲鼎實驗室分析文章中給出的解決方案,客戶依次删除了動态連結庫,删除了後門,這才終于清除了木馬,并修複了這次的罪魁禍首:Redis 未授權通路漏洞。
廣大企業面臨着和以上企業一樣的問題,每一家做雲服務的企業也都有一群默默守護着這些雲上資産的人,騰訊安全雲鼎實驗室更是肩負整個騰訊雲平台安全的重任。雲鼎實驗室每天發現約10億次暴力破解請求,平均每分鐘就有70萬次,入侵挖礦每天高達數百起,應對大規模的攻擊已措置裕如。
利益誘惑下,一群有組織的人正利用漏洞在網際網路上建立他們的攻擊帝國,入侵、掃描、感染伺服器有規模地進行着,而廣大企業将資産放于雲上由資源更豐富的安全團隊管理能更好地應對風險。攻擊者不是一個人在“戰鬥”,我們也不是。
關注雲鼎實驗室,擷取更多安全情報
點選右下角「在看」,開始我們的故事
var first_sceen__time = (+new Date());if ("" == 1 && document.getElementById('js_content')) { document.getElementById('js_content').addEventListener("selectstart",function(e){ e.preventDefault(); }); } (function(){ if (navigator.userAgent.indexOf("WindowsWechat") != -1){ var link = document.createElement('link'); var head = document.getElementsByTagName('head')[0]; link.rel = 'stylesheet'; link.type = 'text/css'; link.href = "//res.wx.qq.com/mmbizwap/zh_CN/htmledition/style/page/appmsg_new/winwx45ba31.css"; head.appendChild(link); } })();
安全攻防 Team
贊賞
長按二維碼向我轉賬
受蘋果公司新規定影響,微信 iOS 版的贊賞功能被關閉,可通過二維碼轉賬支援公衆号。
文章已于修改
閱讀
分享 在看
已同步到看一看
取消 發送
我知道了
朋友會在“發現-看一看”看到你“在看”的内容
确定
已同步到看一看寫下你的想法
最多200字,目前共字 發送
已發送
朋友将在看一看看到
确定
寫下你的想法...
取消
釋出到看一看
确定
最多200字,目前共字
發送中
微信掃一掃
關注該公衆号
微信掃一掃
使用小程式
即将打開""小程式
取消 打開