挖矿蠕虫肆虐,详解云防火墙如何轻松“制敌”

2019 年 5 月 8 日 阿里云安全

根据阿里云安全团队发布的《2018年云上挖矿分析报告》显示,过去一年中,每一波热门0 Day的出现都伴随着挖矿蠕虫的爆发性传播,挖矿蠕虫可能因为占用系统资源导致业务中断,甚至还有部分挖矿蠕虫同时会捆绑勒索病毒(如XBash等)给企业带来资金与数据的损失。


如何提升企业的安全水位,抵御挖矿蠕虫的威胁成为每个企业都在思考的问题。本文以云上环境为例,从挖矿蠕虫的防御、检测和入侵后如何迅速止血三方面来阐述阿里云云防火墙如何全方位抵御挖矿蠕虫。

                                

1.挖矿蠕虫的防御


1.1 挖矿蠕虫的传播方式


据阿里云安全团队观察,云上挖矿蠕虫主要利用网络上普遍存在的通用漏洞和热门的0 Day/N Day漏洞进行传播。


1.1.1 通用漏洞利用


过去一年挖矿蠕虫普遍会利用网络应用上广泛存在的通用漏洞(如配置错误、弱密码等)对互联网持续扫描和攻击,以对主机进行感染。下表是近期活跃的挖矿蠕虫广泛利用的通用漏洞:

 

通用漏洞

挖矿蠕虫家族

SSH、RDP、Telnet爆破

MyKings、RDPMiner

Redis写Crontab执行命令

DDG、Watchdogs、Kworkerd、8220

MySQL/SQLServer利用UDF执行命令

Bulehero、MyKings、ProtonMiner

CouchDB执行命令

8220


1.1.2  0 Day/N Day漏洞利用


0 Day/N Day在网络上未被修复的窗口期也会被挖矿蠕虫利用,迅速进行大规模的感染。下表是近期活跃的挖矿蠕虫利用过的热门0 Day/N Day漏洞:


挖矿蠕虫家族

漏洞

iBus

ThinkPHP V5系列任意代码执行

Apache ActiveMQ任意代码执行(CVE-2015-5254)

watchdogs(ksoftirqds、kerberods)

Confluence远程命令执行(CVE-2019-3396)

watchbog

Nexus Repository Manager 3远程代码执行(CVE-2019-7238)

ThinkPHP V5系列任意代码执行

8220

WebLogic (CVE-2017-10271)

Drupal 远程代码执行(CVE-2018-7600)

JBOSS 5.x/6.x反序列化命令执行(CVE-2017-12149)

MyKings

MS17-010永恒之蓝(CVE-2017-0143)

Bulehero

ThinkPHP V5系列任意代码执行

Tomcat远程代码执行漏洞(CVE-2017-12615)

WebLogic WLS组件漏洞(CVE-2017-10271)

WannaMine

MS17-010永恒之蓝(CVE-2017-0143)

Sefa

ThinkPHP V5系列任意代码执行

ProtonMiner

Hadoop Yarn未授权访问

Drupal 远程代码执行(CVE-2018-7600)

Elasticsearch命令执行(CVE-2014-3120)

WebLogic WLS组件漏洞(CVE-2017-10271)

Satan

Tomcat远程代码执行漏洞(CVE-2017-12615)

JBOSS 5.x/6.x反序列化命令执行(CVE-2017-12149)

WebLogic WLS组件漏洞(CVE-2017-10271)


1.2 挖矿蠕虫的防御


针对这两类利用方式,阿里云云防火墙作为业界首款公共云环境下的SaaS化防火墙,应用可以透明接入,可以对云上进出网络的恶意流量进行实时检测与阻断,在防御挖矿蠕虫方面有着独特优势。

 

1.2.1 通用漏洞的防御


针对挖矿蠕虫对SSH/RDP等进行暴力破解的攻击方式,云防火墙的基础防御支持常规的暴力破解检测方式,如登录或试错频次阈值计算,对超过试错阈值的行为进行IP限制,还支持在用户的访问习惯、访问频率基线的基础上,结合行为模型在保证用户正常访问不被拦截的同时对异常登陆进行限制。


针对一些通用的漏洞利用方式(如利用Redis写Crontab执行命令、数据库UDF进行命令执行等),云防火墙的基础防御基于阿里云的大数据优势,利用阿里云安全在云上攻防对抗中积累的大量恶意攻击样本,可以形成精准的防御规则,具有极高的准确性。


若您需要开启云防火墙的基础防御,只需要在安全策略->入侵防御->基础防御配置栏勾选基础规则即可,当基础防御开启后,在网络流量分析->IPS阻断分析中可以看到详细的拦截日志,相关参考如下:



1.2.2 0 Day/N Day漏洞防御


由于热门0 Day/N Day漏洞修复不及时,被挖矿蠕虫利用感染的风险较大。云防火墙通过结合全网部署的蜜罐分析异常攻击流量和阿里云先知平台漏洞情报的共享,可以及时发现针对0 Day/N Day的漏洞利用,第一时间获取漏洞poc/exp,并落地形成虚拟补丁,在与黑客的攻防对抗中占得时间先机。


用户可以在【安全策略->入侵防御->虚拟补丁】配置栏中可以开启当前热门挖矿蠕虫所利用的高危漏洞,下图是近期活跃的挖矿蠕虫各自利用过的0 Day/N Day漏洞对应的虚拟补丁。


 

2. 挖矿蠕虫的检测


在与蠕虫攻防对抗中,即使在公网边界做好入侵防御措施仍有可能感染挖矿蠕虫。比如挖矿蠕虫可以通过VPN直接由开发机传播到生产网,也有由于运维使用的系统镜像、Docker镜像就已经被植入挖矿病毒,从而导致大规模感染的爆发。


因此,针对挖矿蠕虫的即时感知至关重要。云防火墙通过NTA(Network Traffic Analysis)能力提供的入侵检测功能,能够有效发现挖矿蠕虫感染事件。


利用云上强大的威胁情报网,云防火墙可以及时发现常见货币的矿池地址、检测挖矿木马的下载行为和常见的矿池通信协议,实时识别主机的挖矿行为,并及时告警。


用户可以通过【网络流量分析->入侵检测】中看到每次攻击事件的摘要、影响资产、事件详情等类目信息,用户只需在一键防御类目中打开拦截模式,一键提交,即可在网络端阻断挖矿木马与矿池的通信。



依据详情提供的外联地址信息,用户可以在主机端查找到相应的进程快速清理二进制程序。


3.入侵后如何快速止血?

若服务器已感染挖矿蠕虫,云防火墙可以从恶意文件下载阻断、中控通信拦截、重点业务区强访问控制三方面控制蠕虫进一步传播,减少业务和数据的进一步损失。


3.1 恶意文件下载阻断


恶意文件下载防御是基础防御中重要功能之一,服务器在感染挖矿蠕虫后通常会进行恶意文件下载,基础防御集成恶意文件检测能力,对下载至服务器的文件在流量中进行安全检测,在检测到尝试下载恶意文件时进行告警并阻断。



云防火墙基础防御能力会实时更新常见挖矿蠕虫的各类恶意文件的唯一性特征码和文件模糊hash,在挖矿蠕虫入侵成功/进一步下载更新新的攻击载荷时,会对下载至服务器的文件在流量中进行文件还原及特征匹配,对检测到尝试下载恶意文件时进行告警并阻断。


3.2 中控通信拦截

 

在感染挖矿蠕虫后,针对挖矿蠕虫可能和C&C控制端进行通信,接收进一步的恶意行为指令或者向外泄漏敏感数据等,云防火墙的基础防御功能进行实时拦截主要通过以下三方面来实现:


  • 通过分析和监控全网蠕虫数据和中控服务器通讯流量,可以对异常通讯流量特征化,落地形成中控通信检测特征,通过实时监控中控通信变化,不断的提取攻击特征,确保及时检测到攻击行为;

  • 通过自动学习历史流量访问信息,建立异常流量检测模型,挖掘潜在的未知挖矿蠕虫信息;

  • 利用大数据可视化技术对全网IP访问行为关系进行画像,利用机器学习发现异常IP及访问域,并联动全网攻击数据,最终落地形成中控威胁情报库,从而可以对服务器流量通信进行情报匹配,实时阻断恶意的中控连接通信。


下图是通过基础防御和威胁情报对中控通信拦截的记录:



3.3 重点业务区强访问控制


由于业务本身需要,重点业务通常需要将服务或端口对全公网开放,而来自互联网的扫描、攻击却无时不刻窥探企业的资产,对外部的访问控制很难做到细粒度管控。而对某一台ECS、某一个EIP或内部网络主动外联场景下,域名或IP数量其实都是可控的,因为该类外联通常都是进行合法的外联访问,例如DNS、NTP服务等,少量企业自身业务需要也通常只是少许特定IP或域名,故通过对内对外的域名或IP进行管控,可以很好的防止ECS主机被入侵之后,从恶意域名下拉挖矿木马或木马与C&C进行通信等行为。


云防火墙支持访问控制功能,支持域名(含泛域名)和IP配置。针对重点业务的安全问题,可以通过配置一个强粒度的内对外访问控制,即重要业务端口只允许特定域名或者特定的IP进行访问,其他一律禁止。通过以上操作可以很有效的杜绝挖矿蠕虫下载、对外传播,防止入侵后阶段的维持与获利。


例如以下场景中,内网对外访问的总IP数为6个,其中NTP全部标识为阿里云产品,而DNS为我们所熟知的8.8.8.8,通过云防火墙的安全建议,我们可以将上述6个IP进行放行,而对其他IP访问进行全部拒绝。通过如上的配置,在不影响正常业务访问的情况下,防止其他如上提及到的恶意下载、C&C通信的对外连接行为。



结语

由于互联网上持续存在的通用应用漏洞、0 Day漏洞的频发、以及挖矿变现的高效率,挖矿蠕虫大规模蔓延。云上客户可以通过透明接入云防火墙,保护自身应用不受互联网上各种恶意攻击的威胁。同时云防火墙可以伴随客户业务水平弹性扩容,让客户更多的关注业务的扩展,不需要花费更多精力投入在安全上。


更重要的是,云防火墙依托云上海量的计算能力,能够更快的感知最新的攻击威胁、并且联动全网的威胁情报给用户最佳的安全防护,使用户免于挖矿蠕虫威胁。


相关阅读:


1. CVE漏洞—PHPCMS2008 /type.php代码注入高危漏洞预警

2. DockerKiller:首个针对Docker的批量攻击与利用实例

3. 首个PostgreSQL数据库批量挖矿实例分析

4. 首个Spark REST API未授权漏洞利用分析

5.ThinkPHP v5 新漏洞攻击案例首曝光,阿里云已可告警并拦截

6.多个挖矿僵尸网络开始使用ThinkPHP v5漏洞 威胁升级

7.首现新型RDPMiner挖矿蠕虫 受害主机易被添加恶意账户

8.首爆新型ibus蠕虫,利用热门漏洞疯狂挖矿牟利

9.Confluence 高危漏洞被大规模利用,阿里云WAF接入即可防护,支持免费应急服务

10.Nexus Repository Manager 3新漏洞已被用于挖矿木马传播,建议用户尽快修复

11. WebLogic Server曝高风险远程命令执行0-day漏洞,阿里云WAF支持免费应急服务

12.《2018年云上挖矿分析报告》发布,热点漏洞利用成挖矿团伙"武器库"


点“阅读原文”了解更多阿里云云防火墙

登录查看更多
0

相关内容

多智能体深度强化学习的若干关键科学问题
专知会员服务
186+阅读 · 2020年5月24日
【实用书】Python技术手册,第三版767页pdf
专知会员服务
234+阅读 · 2020年5月21日
深度神经网络实时物联网图像处理,241页pdf
专知会员服务
76+阅读 · 2020年3月15日
【阿里巴巴】 AI编译器,AI Compiler @ Alibaba,21页ppt
专知会员服务
44+阅读 · 2019年12月22日
【干货】大数据入门指南:Hadoop、Hive、Spark、 Storm等
专知会员服务
95+阅读 · 2019年12月4日
Keras作者François Chollet推荐的开源图像搜索引擎项目Sis
专知会员服务
29+阅读 · 2019年10月17日
专知会员服务
206+阅读 · 2019年8月30日
在K8S上运行Kafka合适吗?会遇到哪些陷阱?
DBAplus社群
9+阅读 · 2019年9月4日
后渗透利用msf关闭防火墙
黑白之道
8+阅读 · 2019年8月24日
漏洞预警丨Xstream远程代码执行漏洞
FreeBuf
4+阅读 · 2019年7月25日
用Now轻松部署无服务器Node应用程序
前端之巅
16+阅读 · 2019年6月19日
Kali Linux 渗透测试:密码攻击
计算机与网络安全
16+阅读 · 2019年5月13日
“黑客”入门学习之“windows系统漏洞详解”
安全优佳
8+阅读 · 2019年4月17日
Linux挖矿病毒的清除与分析
FreeBuf
14+阅读 · 2019年4月15日
百度开源项目OpenRASP快速上手指南
黑客技术与网络安全
5+阅读 · 2019年2月12日
如何用GitLab本地私有化部署代码库?
Python程序员
9+阅读 · 2018年12月29日
Do RNN and LSTM have Long Memory?
Arxiv
19+阅读 · 2020年6月10日
AliCoCo: Alibaba E-commerce Cognitive Concept Net
Arxiv
13+阅读 · 2020年3月30日
Seeing What a GAN Cannot Generate
Arxiv
8+阅读 · 2019年10月24日
Arxiv
8+阅读 · 2018年4月8日
Arxiv
3+阅读 · 2018年3月13日
VIP会员
相关VIP内容
多智能体深度强化学习的若干关键科学问题
专知会员服务
186+阅读 · 2020年5月24日
【实用书】Python技术手册,第三版767页pdf
专知会员服务
234+阅读 · 2020年5月21日
深度神经网络实时物联网图像处理,241页pdf
专知会员服务
76+阅读 · 2020年3月15日
【阿里巴巴】 AI编译器,AI Compiler @ Alibaba,21页ppt
专知会员服务
44+阅读 · 2019年12月22日
【干货】大数据入门指南:Hadoop、Hive、Spark、 Storm等
专知会员服务
95+阅读 · 2019年12月4日
Keras作者François Chollet推荐的开源图像搜索引擎项目Sis
专知会员服务
29+阅读 · 2019年10月17日
专知会员服务
206+阅读 · 2019年8月30日
相关资讯
在K8S上运行Kafka合适吗?会遇到哪些陷阱?
DBAplus社群
9+阅读 · 2019年9月4日
后渗透利用msf关闭防火墙
黑白之道
8+阅读 · 2019年8月24日
漏洞预警丨Xstream远程代码执行漏洞
FreeBuf
4+阅读 · 2019年7月25日
用Now轻松部署无服务器Node应用程序
前端之巅
16+阅读 · 2019年6月19日
Kali Linux 渗透测试:密码攻击
计算机与网络安全
16+阅读 · 2019年5月13日
“黑客”入门学习之“windows系统漏洞详解”
安全优佳
8+阅读 · 2019年4月17日
Linux挖矿病毒的清除与分析
FreeBuf
14+阅读 · 2019年4月15日
百度开源项目OpenRASP快速上手指南
黑客技术与网络安全
5+阅读 · 2019年2月12日
如何用GitLab本地私有化部署代码库?
Python程序员
9+阅读 · 2018年12月29日
相关论文
Top
微信扫码咨询专知VIP会员