根据阿里云安全团队发布的《2018 年云上挖矿分析报告》显示, 过去一年中, 每一波热门 0 Day 的出现都伴随着挖矿蠕虫的爆发性传播, 挖矿蠕虫可能因为占用系统资源导致业务中断, 甚至还有部分挖矿蠕虫同时会捆绑勒索病毒 (如 XBash 等) 给企业带来资金与数据的损失.
如何提升企业的安全水位, 抵御挖矿蠕虫的威胁成为每个企业都在思考的问题. 本文以云上环境为例, 从挖矿蠕虫的防御, 检测和入侵后如何迅速止血三方面来阐述阿里云云防火墙如何全方位抵御挖矿蠕虫.
1. 挖矿蠕虫的防御
1.1 挖矿蠕虫的传播方式
据阿里云安全团队观察, 云上挖矿蠕虫主要利用网络上普遍存在的通用漏洞和热门的 0 Day/N Day 漏洞进行传播.
1.1.1 通用漏洞利用
过去一年挖矿蠕虫普遍会利用网络应用上广泛存在的通用漏洞 (如配置错误, 弱密码等) 对互联网持续扫描和攻击, 以对主机进行感染. 下表是近期活跃的挖矿蠕虫广泛利用的通用漏洞:
1.1.2 0 Day/N Day 漏洞利用
0 Day/N Day 在网络上未被修复的窗口期也会被挖矿蠕虫利用, 迅速进行大规模的感染. 下表是近期活跃的挖矿蠕虫利用过的热门 0 Day/N Day 漏洞:
1.2 挖矿蠕虫的防御
针对这两类利用方式, 阿里云云防火墙作为业界首款公共云环境下的 SaaS 化防火墙, 应用可以透明接入, 可以对云上进出网络的恶意流量进行实时检测与阻断, 在防御挖矿蠕虫方面有着独特优势.
1.2.1 通用漏洞的防御
针对挖矿蠕虫对 SSH/RDP 等进行暴力破解的攻击方式, 云防火墙的基础防御支持常规的暴力破解检测方式, 如登录或试错频次阈值计算, 对超过试错阈值的行为进行 IP 限制, 还支持在用户的访问习惯, 访问频率基线的基础上, 结合行为模型在保证用户正常访问不被拦截的同时对异常登陆进行限制.
针对一些通用的漏洞利用方式(如利用 Redis 写 Crontab 执行命令, 数据库 UDF 进行命令执行等), 云防火墙的基础防御基于阿里云的大数据优势, 利用阿里云安全在云上攻防对抗中积累的大量恶意攻击样本, 可以形成精准的防御规则, 具有极高的准确性.
若您需要开启云防火墙的基础防御, 只需要在安全策略 ->入侵防御 ->基础防御配置栏勾选基础规则即可, 当基础防御开启后, 在网络流量分析 ->IPS 阻断分析中可以看到详细的拦截日志, 相关参考如下:
1.2.2 0 Day/N Day 漏洞防御
由于热门 0 Day/N Day 漏洞修复不及时, 被挖矿蠕虫利用感染的风险较大. 云防火墙通过结合全网部署的蜜罐分析异常攻击流量和阿里云先知平台漏洞情报的共享, 可以及时发现针对 0 Day/N Day 的漏洞利用, 第一时间获取漏洞 poc/exp, 并落地形成虚拟补丁, 在与黑客的攻防对抗中占得时间先机.
用户可以在 [安全策略 -> 入侵防御 ->虚拟补丁] 配置栏中可以开启当前热门挖矿蠕虫所利用的高危漏洞, 下图是近期活跃的挖矿蠕虫各自利用过的 0 Day/N Day 漏洞对应的虚拟补丁.
2. 挖矿蠕虫的检测
在与蠕虫攻防对抗中, 即使在公网边界做好入侵防御措施仍有可能感染挖矿蠕虫. 比如挖矿蠕虫可以通过 VPN 直接由开发机传播到生产网, 也有由于运维使用的系统镜像, Docker 镜像就已经被植入挖矿病毒, 从而导致大规模感染的爆发.
因此, 针对挖矿蠕虫的即时感知至关重要. 云防火墙通过 NTA(Network Traffic Analysis)能力提供的入侵检测功能, 能够有效发现挖矿蠕虫感染事件.
利用云上强大的威胁情报网, 云防火墙可以及时发现常见货币的矿池地址, 检测挖矿木马的下载行为和常见的矿池通信协议, 实时识别主机的挖矿行为, 并及时告警.
用户可以通过 [网络流量分析 -> 入侵检测] 中看到每次攻击事件的摘要, 影响资产, 事件详情等类目信息, 用户只需在一键防御类目中打开拦截模式, 一键提交, 即可在网络端阻断挖矿木马与矿池的通信.
依据详情提供的外联地址信息, 用户可以在主机端查找到相应的进程快速清理二进制程序.
3. 入侵后如何快速止血?
若服务器已感染挖矿蠕虫, 云防火墙可以从恶意文件下载阻断, 中控通信拦截, 重点业务区强访问控制三方面控制蠕虫进一步传播, 减少业务和数据的进一步损失.
3.1 恶意文件下载阻断
恶意文件下载防御是基础防御中重要功能之一, 服务器在感染挖矿蠕虫后通常会进行恶意文件下载, 基础防御集成恶意文件检测能力, 对下载至服务器的文件在流量中进行安全检测, 在检测到尝试下载恶意文件时进行告警并阻断.
云防火墙基础防御能力会实时更新常见挖矿蠕虫的各类恶意文件的唯一性特征码和文件模糊 hash, 在挖矿蠕虫入侵成功 / 进一步下载更新新的攻击载荷时, 会对下载至服务器的文件在流量中进行文件还原及特征匹配, 对检测到尝试下载恶意文件时进行告警并阻断.
3.2 中控通信拦截
在感染挖矿蠕虫后, 针对挖矿蠕虫可能和 C&C 控制端进行通信, 接收进一步的恶意行为指令或者向外泄漏敏感数据等, 云防火墙的基础防御功能进行实时拦截主要通过以下三方面来实现:
通过分析和监控全网蠕虫数据和中控服务器通讯流量, 可以对异常通讯流量特征化, 落地形成中控通信检测特征, 通过实时监控中控通信变化, 不断的提取攻击特征, 确保及时检测到攻击行为;
通过自动学习历史流量访问信息, 建立异常流量检测模型, 挖掘潜在的未知挖矿蠕虫信息;
利用大数据可视化技术对全网 IP 访问行为关系进行画像, 利用机器学习发现异常 IP 及访问域, 并联动全网攻击数据, 最终落地形成中控威胁情报库, 从而可以对服务器流量通信进行情报匹配, 实时阻断恶意的中控连接通信.
下图是通过基础防御和威胁情报对中控通信拦截的记录:
3.3 重点业务区强访问控制
由于业务本身需要, 重点业务通常需要将服务或端口对全公网开放, 而来自互联网的扫描, 攻击却无时不刻窥探企业的资产, 对外部的访问控制很难做到细粒度管控. 而对某一台 ECS, 某一个 EIP 或内部网络主动外联场景下, 域名或 IP 数量其实都是可控的, 因为该类外联通常都是进行合法的外联访问, 例如 DNS,NTP 服务等, 少量企业自身业务需要也通常只是少许特定 IP 或域名, 故通过对内对外的域名或 IP 进行管控, 可以很好的防止 ECS 主机被入侵之后, 从恶意域名下拉挖矿木马或木马与 C&C 进行通信等行为.
云防火墙支持访问控制功能, 支持域名 (含泛域名) 和 IP 配置. 针对重点业务的安全问题, 可以通过配置一个强粒度的内对外访问控制, 即重要业务端口只允许特定域名或者特定的 IP 进行访问, 其他一律禁止. 通过以上操作可以很有效的杜绝挖矿蠕虫下载, 对外传播, 防止入侵后阶段的维持与获利.
例如以下场景中, 内网对外访问的总 IP 数为 6 个, 其中 NTP 全部标识为阿里云产品, 而 DNS 为我们所熟知的 8.8.8.8, 通过云防火墙的安全建议, 我们可以将上述 6 个 IP 进行放行, 而对其他 IP 访问进行全部拒绝. 通过如上的配置, 在不影响正常业务访问的情况下, 防止其他如上提及到的恶意下载, C&C 通信的对外连接行为.
结语
由于互联网上持续存在的通用应用漏洞, 0 Day 漏洞的频发, 以及挖矿变现的高效率, 挖矿蠕虫大规模蔓延. 云上客户可以通过透明接入云防火墙, 保护自身应用不受互联网上各种恶意攻击的威胁. 同时云防火墙可以伴随客户业务水平弹性扩容, 让客户更多的关注业务的扩展, 不需要花费更多精力投入在安全上.
更重要的是, 云防火墙依托云上海量的计算能力, 能够更快的感知最新的攻击威胁, 并且联动全网的威胁情报给用户最佳的安全防护, 使用户免于挖矿蠕虫威胁.
附:《2018 年云上挖矿报告》下载地址: https://yq.aliyun.com/download/3312
来源: https://yq.aliyun.com/articles/701646