研究報告:駭客集團入侵大量雲端機器挖礦圖利,對企業造成那些影響?

 

趨勢科技研究報告披露了雲端虛擬加密貨幣挖礦活動的一些駭客集團、他們如何彼此爭奪雲端資源,以及他們的攻擊實際上會對企業造成多大的不良影響。

 

雲端虛擬加密貨幣挖礦犯罪集團研究

近期的虛擬加密貨幣挖礦犯罪活動出現一種新的趨勢,那就是將目標移轉到雲端。目前,絕大多數的合法挖礦族仍是偏愛 GPU 挖礦,因為獲利較高,但雲端的擴充性使得 CPU 挖礦變得有利可圖,尤其駭客能入侵大量的雲端機器來幫他們挖礦,更是穩賺不賠。

我們的研究報告「飄浮的戰場:如何因應雲端虛擬加密貨幣挖礦情勢」(A Floating Battleground: Navigating the Landscape of Cloud-Based Cryptocurrency Mining) 針對目前雲端虛擬加密貨幣挖礦的情勢做了一番調查,主要聚焦在該領域一些最大的集團、他們如何彼此爭奪雲端資源,以及他們的攻擊可能對企業機構造成什麼不良影響。

🔻本文重點預覽:

🪙雲端加密貨幣挖礦的不良影非僅止於資源成本
雲端加密貨幣挖礦的不良影響並非僅止於資源成本除了資源成本之外,感染虛擬加密貨幣挖礦程式還會拖慢、甚至中斷企業的線上服務。
本質上,我們不應將挖礦攻擊視為單一資安事件,而應視為資安狀況不佳的一種指標,挖礦犯罪集團入侵目標系統時所用的工具和技巧,其他駭客集團同樣也會使用,而且可能還更具破壞力。

🪙雲端虛擬加密貨幣挖礦犯罪集團非常多樣化
雲端虛擬加密貨幣挖礦犯罪集團駭入雲端環境的手法大同小異,通常是利用目標系統的資安漏洞,如:系統漏洞未修補、登入憑證強度不足、雲端服務組態設定錯誤等等。但個別的集團,從技術能力與經驗、到所用的攻擊和技巧,多多少少都有其獨特之處。

🪙雲端資源爭奪戰隨時都在上演
 挖礦犯罪集團的工具和技巧之所以會不斷演進,主要就是為了爭奪受害伺服器的控制權,因而促使他們不斷提升自己的技術來清除受害系統上的其他競爭對手,同時也防止自己被清除。

🪙防範雲端虛擬貨幣挖礦攻擊需要最佳實務原則與資安解決方案
企業機構要提高雲端環境整體的資安強度,包括落實一些通用的最佳實務原則,例如:盡速修補與更新軟體來減少舊版軟體漏洞遭到攻擊的機會。另一個良好的資安習慣就是盡可能減少對外暴露的危險,確保雲端系統只執行一些必要的服務,並避免 API 暴露在網際網路,將互動限定在系統管理員和某些特定員工。


🪙 雲端加密貨幣挖礦的不良影響並非僅止於資源成本


雲端虛擬加密貨幣挖礦對企業機構最明顯的不良影響,就是資源的消耗與成本。我們特別在一套系統上安裝了門羅幣挖礦程式 XMRig 來進行實驗,根據我們實驗的結果,這套系統的 CPU 使用率從原本的 13% (平均值) 一下子飆到 100%。每個月的電力成本從 20 美元一下子變成 130 美元,成長幅度 600% 左右,這還只是單一雲端執行個體的成本。如果乘上一般企業擁有的執行個體數量,那整體的電費將相當驚人。

The increase in CPU credit usage for on-demand systems infected with cryptocurrency miners
圖 1:感染虛擬加密貨幣挖礦程式的系統,CPU 用量突然暴增。

除了資源成本之外,感染虛擬加密貨幣挖礦程式還會拖慢、甚至中斷企業的線上服務。這部分的損失其實更大,因為有可能衝擊企業的獲利能力,不僅可能造成客戶不滿以及商譽損失,營收也會跟著下滑。

除了攻擊所造成的直接財務損失之外,企業系統存在著虛擬加密貨幣挖礦程式,意味著企業雲端基礎架構存在著更深問題。乍看之下,虛擬加密貨幣挖礦似乎不像其他類型的威脅 (如資料外洩或感染勒索病毒) 那樣嚴重。但駭客入侵目標系統的方法基本上都一樣,都是攻擊企業資安沒有涵蓋或無法涵蓋的漏洞或弱點。 

本質上,我們不應將虛擬加密貨幣挖礦攻擊視為單一資安事件,而應視為資安狀況不佳的一種指標,就好像礦坑裡放置的金絲雀一樣。虛擬加密貨幣挖礦犯罪集團入侵目標系統時所用的工具和技巧,其他駭客集團同樣也會使用,而且可能還更具破壞力。

🪙 雲端虛擬加密貨幣挖礦犯罪集團非常多樣化


雲端虛擬加密貨幣挖礦犯罪集團駭入雲端環境的手法大同小異,通常是利用目標系統的資安漏洞,如:系統漏洞未修補、登入憑證強度不足、雲端服務組態設定錯誤等等。但個別的集團,從技術能力與經驗、到所用的攻擊和技巧,多多少少都有其獨特之處。

例如,Outlaw 駭客集團從第一次攻擊行動到現在都沒太大改變。該集團習慣攻擊物聯網裝置和 Linux 伺服器的漏洞來試圖進入目標系統,或者單純使用 SSH (Secure Shell) 暴力登入方式,然後再安裝一個 IRC (Internet Relay Chat) 殭屍程式來負責遠端遙控作業。Outlaw 似乎比較喜歡靜靜地使用過去曾經成功過的方法。

反觀我們曾經詳細探討過的 TeamTNT 集團,他們自從首次現身以來便一直不斷精進。這個集團偏愛攻擊軟體服務的漏洞來駭入主機,接著再搜刮其他服務的登入憑證,進而擴散到其他主機。TeamTNT 最引人注意的一點就是他們在社群媒體上的聲量,他們會對外溝通,通常是出面澄清別人誤植的一些攻擊個案,或者稱讚一些他們覺得分析得不錯的資安研究人員。

The Twitter account of TeamTNT
圖 2:TeamTNT 集團的 Twitter 帳號。

還有一些其他集團,如  Kinsing8220 則非常低調,只會默默做,不會大聲說。這兩個集團雖然在外界看來似乎不像 TeamTNT 那樣活躍,但其實他們才是我們分析的集團當中最活躍的,連上他們伺服器的信標數量每個月至少有 1,000 個。

A comparison of the monthly activity of cryptocurrency-mining groups from January to August 2021
圖 3:虛擬加密貨幣挖礦集團活動每月數量比較 (2021 年 1 月至 8 月)。

Kek Security 是一個相對較新的集團,但一出手就令人刮目相看,使用了一個以 Python 撰寫的 IRC 殭屍網路程式 (Necro),內含虛擬加密貨幣挖礦和分散式阻斷服務 (DDoS) 功能。這個集團較值得注意的是他們會在他們的工具當中收錄一些新的漏洞攻擊手法,並且主攻 Windows 平台。

🪙 雲端資源爭奪戰隨時都在上演 


虛擬加密貨幣挖礦犯罪領域獨特的一點就是,駭客集團不僅要應付目標企業的資安系統與人員,還要互相爭奪有限的資源。這些集團的工具和技巧之所以會不斷演進,主要就是為了爭奪受害伺服器的控制權,因而促使他們不斷提升自己的技術來清除受害系統上的其他競爭對手,同時也防止自己被清除。

這些集團所用的工具通常會包括一些清除腳本來協助他們刪掉競爭對手的挖礦程式,此外還會不斷強化自己的加密編碼與常駐機制。不過有些集團會完全避開競爭,只專注於系統的不同層面,如此就不太會與競爭對手搶地盤。

有一點確定的是:不論是誰贏得這場資源爭奪戰,輸的永遠是無辜的受害企業。

A typical day showing the back-and-forth control of a cloud instance by Kinsing (red) and 8220 (blue), with the numbers representing inbound control connections
圖 4:Kinsing (紅色) 與 8220 (藍色) 兩大集團在一天當中不斷互相爭奪某個雲端執行個體的控制權,數字代表對內操控連線的數量。

🪙 防範雲端虛擬貨幣挖礦攻擊需要最佳實務原則與資安解決方案


值得慶幸的是,企業機構在防範雲端虛擬加密貨幣挖礦攻擊方面並非完全無助。

我們鼓勵企業機構要提高雲端環境整體的資安強度,包括落實一些通用的最佳實務原則,例如:盡速修補與更新軟體來減少舊版軟體漏洞遭到攻擊的機會。另一個良好的資安習慣就是盡可能減少對外暴露的危險,確保雲端系統只執行一些必要的服務,並避免 API 暴露在網際網路,將互動限定在系統管理員和某些特定員工。此外,企業也可考慮部署一些工具,如:防火牆、入侵防護 (IDS/IPS) 以及雲端端點防護產品來限制和過濾對內及對外的惡意網路流量。

除此之外,參考雲端服務供應商 (如 Amazon Web ServicesGoogle Cloud PlatformMicrosoft Azure 及  Oracle Cloud) 提供的資安指引也是不錯的作法,這些指引可幫助您正確設定雲端環境組態,進而確保安全。

還有一些專門防範雲端虛擬加密貨幣挖礦攻擊的防禦措施,例如,設定一些規則來監控資源的使用狀況、追查開放的連接埠、檢查 DNS 路由設定的使用與變更。我們的研究報告當中有更多的資安最佳實務原則與具體的防禦策略範例可供您參考。

未來,雲端虛擬加密貨幣挖礦犯罪集團必定還會不斷進化,一方面對抗資安人員,一方面彼此競爭。所以,企業很重要的一點就是隨時吸收有關雲端威脅的更多知識來掌握先機。我們的研究報告「飄浮的戰場:如何因應雲端虛擬加密貨幣挖礦情勢」(A Floating Battleground: Navigating the Landscape of Cloud-Based Cryptocurrency Mining) 是您進一步了解此一威脅情勢與相關犯罪集團的絕佳起點。

如需這份報告當中提到的入侵指標,請至此處下載。

下載研究報告

下載單頁摘要

◼原文來源:Probing the Activities of Cloud-Based Cryptocurrency-Mining Groups