以雲端基礎架構為攻擊目標的挖礦攻擊

隨著過去幾年加密貨幣挖礦惡意程式的興起,網路罪犯正在持續嘗試不同種類的變現方案。其中一種日益猖獗的方式,便是鎖定雲端基礎架構,尤其是企業的雲端基礎架構。根據 AT&T 的報告指出,針對企業雲端基礎架構的網路犯罪就有以下四種:遭入侵的容器管理平台、惡意 Docker 映像、API 金鑰竊取,以及控制面板漏洞攻擊。

1.濫用遭入侵的容器管理平台。容器是一種開發人員用來裝載所有應用程式元件的技術,這些元件包括管理介面、檔案、程式碼以及程式庫等。網路罪犯會應用以上元件的弱點,或利用不當設定的容器來部署惡意程式。在 2018 年 2 月便有這樣的例子,當時一家電動車製造商的 Kubernetes 基礎架構遭到攻擊者盜用。攻擊者之後便使用遭入侵的容器來執行加密貨幣挖礦作業。

此外,攻擊者還透過濫用開放式 API 和未驗證的管理介面來入侵這些平台。

2.執行惡意 Docker 映像。Docker 是另一種普遍的開發工具,用於建置、執行和散佈容器。由於建置這些容器通常需要時間和資源,因此一些 Docker 使用者仰賴使用預先建構的映像以滿足其需求。AT&T 的報告指出,由於使用者不經意下載包含加密貨幣挖礦程式的映像,因此這種問題日益嚴重。非法挖礦服務很難偵測,因為挖礦程式通常在使用者不知情和未允許的狀況下,在背景運作。

3.竊取 API 金鑰。API 金鑰竊取是一種廣為人知的雲端基礎架構入侵方法,通常只會對 GitHub 等服務中發佈的原始程式碼進行基本掃描,以搜尋可公開存取的 API 金鑰。透過取得這些 API 金鑰的存取權,網路罪犯可以執行各種惡意行動,包括透過交易機器人買賣貨幣,到使用遭駭的帳戶來進行挖礦等。

4.網頁主機控制面板漏洞攻擊。網路罪犯也轉而嘗試取得網頁託管技術的控制面板管理存取權,以讓他們部署包括加密貨幣挖礦程式等惡意程式。雖然漏洞利用是一種可能的入侵手段,但往往是企業控制中不當配置等因素所造成的結果。以 2018 年 10 月的一次事件為例,攻擊者利用暴露的 Docker API 連接埠,使他們得以在受影響的機器中部署 Monero 挖礦程式。

如果企業和個人能從安全架構設計做起,包含正確的實施基本最佳實務,即可避免大部分的攻擊,這些最佳實務包括:

  • 使用者的高度謹慎,絕不將存取金鑰向大眾公開,以杜絕 API 金鑰竊取行為。
  • 雲端服務應一律採用正確設定,以避免任何潛在漏洞攻擊。即使只是簡單的更換控制面板預設密碼,也可以消除大部分的攻擊。
  • 許多容器技術具備整合式安全功能,使用者應該在規劃使用這些平台時加以設定。

企業也應該考量實施自動化執行階段和映像掃描,以提高容器處理時的能見度。應用程式控制一致性監控也能協助在組織系統中尋找任何可疑活動。

趨勢科技協助開發營運團隊達成安全建置、快速出貨,並隨處執行的目標。Trend Micro™ Hybrid Cloud Security  解決方案,為組織內的開發營運管道提供強大、簡潔和自動化的安全性,並賦予多重 趨勢科技的XGen安全防護技術威脅防禦技術,以保護執行階段的實體、虛擬和雲端工作負載。它也能經由 趨勢科技HYPERLINK “http://t.rend.tw/?i=Mzc4MQ”Deep Security™ 解決方案和 Deep Security Smart Check,在開發管道中的任何間隔對 Docker 容器映像進行惡意程式和漏洞掃描,提前避免威脅部署,提升容器防護。

來源: Attackers Targeting Cloud Infrastructure for Their Cryptocurrency-Mining Operations