隨著過去幾年加密貨幣挖礦惡意程式的興起,網路罪犯正在持續嘗試不同種類的變現方案。其中一種日益猖獗的方式,便是鎖定雲端基礎架構,尤其是企業的雲端基礎架構。根據 AT&T 的報告指出,針對企業雲端基礎架構的網路犯罪就有以下四種:遭入侵的容器管理平台、惡意 Docker 映像、API 金鑰竊取,以及控制面板漏洞攻擊。
1.濫用遭入侵的容器管理平台。容器是一種開發人員用來裝載所有應用程式元件的技術,這些元件包括管理介面、檔案、程式碼以及程式庫等。網路罪犯會應用以上元件的弱點,或利用不當設定的容器來部署惡意程式。在 2018 年 2 月便有這樣的例子,當時一家電動車製造商的 Kubernetes 基礎架構遭到攻擊者盜用。攻擊者之後便使用遭入侵的容器來執行加密貨幣挖礦作業。
此外,攻擊者還透過濫用開放式 API 和未驗證的管理介面來入侵這些平台。
2.執行惡意 Docker 映像。Docker 是另一種普遍的開發工具,用於建置、執行和散佈容器。由於建置這些容器通常需要時間和資源,因此一些 Docker 使用者仰賴使用預先建構的映像以滿足其需求。AT&T 的報告指出,由於使用者不經意下載包含加密貨幣挖礦程式的映像,因此這種問題日益嚴重。非法挖礦服務很難偵測,因為挖礦程式通常在使用者不知情和未允許的狀況下,在背景運作。
3.竊取 API 金鑰。API 金鑰竊取是一種廣為人知的雲端基礎架構入侵方法,通常只會對 GitHub 等服務中發佈的原始程式碼進行基本掃描,以搜尋可公開存取的 API 金鑰。透過取得這些 API 金鑰的存取權,網路罪犯可以執行各種惡意行動,包括透過交易機器人買賣貨幣,到使用遭駭的帳戶來進行挖礦等。
4.網頁主機控制面板漏洞攻擊。網路罪犯也轉而嘗試取得網頁託管技術的控制面板管理存取權,以讓他們部署包括加密貨幣挖礦程式等惡意程式。雖然漏洞利用是一種可能的入侵手段,但往往是企業控制中不當配置等因素所造成的結果。以 2018 年 10 月的一次事件為例,攻擊者利用暴露的 Docker API 連接埠,使他們得以在受影響的機器中部署 Monero 挖礦程式。
如果企業和個人能從安全架構設計做起,包含正確的實施基本最佳實務,即可避免大部分的攻擊,這些最佳實務包括:
- 使用者的高度謹慎,絕不將存取金鑰向大眾公開,以杜絕 API 金鑰竊取行為。
- 雲端服務應一律採用正確設定,以避免任何潛在漏洞攻擊。即使只是簡單的更換控制面板預設密碼,也可以消除大部分的攻擊。
- 許多容器技術具備整合式安全功能,使用者應該在規劃使用這些平台時加以設定。
企業也應該考量實施自動化執行階段和映像掃描,以提高容器處理時的能見度。應用程式控制和一致性監控也能協助在組織系統中尋找任何可疑活動。
趨勢科技協助開發營運團隊達成安全建置、快速出貨,並隨處執行的目標。Trend Micro™ Hybrid Cloud Security 解決方案,為組織內的開發營運管道提供強大、簡潔和自動化的安全性,並賦予多重 趨勢科技的XGen安全防護技術威脅防禦技術,以保護執行階段的實體、虛擬和雲端工作負載。它也能經由 趨勢科技HYPERLINK “https://t.rend.tw/?i=Mzc4MQ”Deep Security™ 解決方案和 Deep Security Smart Check,在開發管道中的任何間隔對 Docker 容器映像進行惡意程式和漏洞掃描,提前避免威脅部署,提升容器防護。
來源: Attackers Targeting Cloud Infrastructure for Their Cryptocurrency-Mining Operations