挖礦攻擊對 DevOps 團隊的衝擊

了解虛擬加密貨幣挖礦( coinmining )攻擊對 DevOps 的衝擊以及該如何防範才不會影響上市時程。

何謂虛擬加密貨幣挖礦?


不肖的虛擬加密貨幣挖礦是指網路犯罪集團利用系統的漏洞、強度太弱的登入憑證或組態設定錯誤來駭入系統,進而使用系統的運算效能來生產虛擬加密貨幣。

DevOps 與虛擬加密貨幣挖礦


管勒索病毒的話題正夯,但虛擬加密貨幣挖礦同樣也是一種後果嚴重的網路攻擊。還記得 Apache Log4j (Log4Shell) 漏洞嗎?說實在的,應該沒人會不記得,但這個重大漏洞最常被駭客利用的情況,就是虛擬加密貨幣挖礦攻擊。

虛擬加密貨幣挖礦熱潮如同 1980 年代末期的加拿大育空掏金熱一樣,隨著金價不斷攀升,前往掏金和探險的人也越來越多。今日的情況也相同,隨著比特幣的價格持續攀升,投入虛擬加密貨幣挖礦的網路犯罪集團也越來越多。

本文介紹 趨勢科技Trend Micro Research 最新的研究報告,該報告調查了目前最主要的虛擬加密貨幣挖礦集團,看看虛擬加密貨幣挖礦對 DevOps 的流程和工具帶來什麼衝擊,以及該如何制訂防範策略。

虛擬加密貨幣挖礦對 DevOps 團隊的衝擊

消耗資源與成本

挖礦集團會榨乾電腦的運算資源,盡可能在最短時間內挖到最多的虛擬加密貨幣。所以,他們很自然地瞄準了雲端服務,因為雲端擁有龐大的擴充性,而且能夠快速啟動新的執行個體。這對 DevOps 團隊有何影響?若你環境已設定成自動擴充,那麼直到你收到巨額帳單之前,你可能很難偵測這類攻擊,因為正常的專案也會視情況而擴充,所以費用增加是很正常的事。

CI/CD 流程遭到濫用

挖礦集團也會濫用 CI/CD 平台,因為這類平台不僅強大,而且大多數供應商都有免費等級可以供人試用。這對駭客來說真是再好不過,因為駭客不需花費力氣或冒著風險偷用某個企業的雲端環境。他們只需註冊免費等級的帳號,撰寫一些腳本,然後發佈到 GitHub 這類公開的儲存庫,讓一些不知情的開發人員拿去使用。結果,你的 CI/CD 流程就這樣被他們所掌控。

例如,挖礦集團會在 GitHub 上建立一個簡單的儲存庫,它乍看之下一切都很正常。但這個儲藏庫的使用者卻定義了五個不同的 CI 供應者,所以每當它收到確認寫入 (Commit) 指令時,就會啟動這所有的資源讓犯罪集團挖礦挖到爽。

工作流程停頓

遭到挖礦攻擊的一個明顯徵兆就是系統變慢,比方說,你可能會注意到你的 CI 代理程式變得比以前慢,或者在開啟工作時延遲更久。此外,如果你的服務開始變慢,資安團隊就會開始調查原因,此時還可能造成更多延遲。對於開發人員來說,就連小小停頓也難以忍受,因為你需要盡可能保持靈活,以最快速度在市場上推出最新 (且安全) 的產品。

更大攻擊的其中一環

絕大多數企業都將注意力放在防範資料外洩或勒索病毒攻擊,但挖礦攻擊同樣也需要嚴肅面對。Trend Micro Research 將虛擬加密貨幣挖礦攻擊比喻成「礦坑的金絲雀」,換句話說,它是企業資安不佳的一種徵兆,意味著企業可能引來各式各樣的攻擊。這是因為挖礦集團用來入侵你系統與服務的工具、技巧和手法,也跟那些販賣存取服務或勒索病毒的犯罪集團所用的一樣。

虛擬加密貨幣挖礦攻擊的防範策略


那麼,你該如何主動防範挖礦集團消耗你的運算資源呢?好消息是,由於這些集團使用的手法與其他犯罪集團一樣,所以你只需提升企業的整體資安,就能防範挖礦攻擊。換句話說,你不必尋找一些專門防範挖礦攻擊的產品,反而應該尋找一家能同時解決挖礦攻擊和其他重大威脅的網路資安平台廠商,以免為資安團隊增加複雜性。

DevOps 團隊應尋找一套能協助資安團隊盡可能在開發流程前期就能偵測及回應威脅、且不會拖慢開發人員的網路資安平台。請考慮以下能協助你的資安團隊及開發團隊更有效了解、溝通及防範威脅的功能:

  • 廣泛整合的能力:與防火牆、漏洞管理產品、Microsoft Active Directory (AD)、SIEM、SOAR 等各種生態系合作夥伴整合,進而提供更多的數據分析資料,讓作業流程最佳化。
  • 持續的受攻擊面監控:能有效降低風險,包括可疑的使用者行為。
  • 採用零信任 (Zero Trust) 資安方法:確保唯有通過認證的使用者、裝置和應用程式能獲得存取權限,此外,一發現任何可疑活動,應該立即撤銷存取權限。
  • 虛擬修補:可減少舊版軟體遭到漏洞攻擊的機會,並且在廠商釋出修補更新之前提供一道防護,對於當前的修補管理流程也有所幫助。
  • 延伸式偵測及回應 (XDR):蒐集並交叉關聯來自端點、電子郵件、網路及雲端的深度資安資料,進而改善威脅可視性,更快偵測及回應威脅。
  • 入侵偵測及防護 (IDS/IPS):可限制並過濾入口與出口網路流量來防範已知的漏洞攻擊手法。
  • 客製化規則:可監控資源的使用狀況、追查開放的連接埠、檢查 DNS 路由設定的使用與變更。
  • 採用產業標準與框架:例如採用 MITRE ATT&CK 來協助企業偵測雲端虛擬加密貨幣挖礦集團最常使用的攻擊手法、技巧與程序 (TTP)。

下一步

如需更多有關虛擬加密貨幣挖礦資安現況的更多分析,請參閱我們深入的研究報告以及一頁式指南。

cloud-one-trial

原文出處:Cryptomining Overview for DevOps 作者:Mayra Rosario Fuentes、Stephen Hilt、Robert McArdle 與 Lord Alfred Remorin