近年来,全球网络安全形势日趋严峻,APT攻击、勒索病毒、挖矿木马、供应链攻击等各种新型攻击手段层出不穷,严重影响着千行百业数字化转型的进程。
据腾讯安全团队发布的报告显示,在公有云的攻击事件当中,以“挖矿”为目的的入侵占比达到了54.9%。挖矿木马的危害不容小觑,不仅会消耗企业电力和服务器计算资源,还会对关键数据造成严重威胁,导致数据泄露、病毒感染等更严重的安全问题。
9月6日,腾讯安全举办了《原引擎·云原生安全实战加速舱》专题公开课,第一期以“如何高效破解挖矿攻击难题?”为主题,邀请腾讯云安全服务应急专家高智鹏、腾讯云原生安全产品专家赵志广两位专家,分享了腾讯云原生安全挖矿防护的最佳实践和实操演练,希望帮助企业构建更高效、更安全、更省心的云原生的安全防护体系。
挖矿攻击的常见手法与演示
在公开课上,腾讯云安全服务应急专家高智鹏分享了《挖矿攻击的常见手法与演示》的主题演讲,详细介绍了挖矿攻击的含义和常见手法,并实际演示了挖矿攻击的路径等等。
01挖矿攻击及其常用手法
据高智鹏介绍,“挖矿”是指透过执行工作量证明或执行其他类似的挖矿算法来获取加密货币。可以将“挖矿”比作做算术题,如果谁能在第一时间解答并提交正确答案,就会得到一定的奖励。而这个奖励引申到现实中,就是所谓的加密货币,整个求解的过程就叫做挖矿。
而“挖矿攻击”指在用户不知情或未经允许的情况下,占用受害者的系统资源和网络资源进行挖矿,从而获取加密货币牟利。
挖矿攻击的常用手法包括应用捆绑、暴力破解、漏洞利用及挖矿网站。应用捆绑这类的挖矿攻击常见于钓鱼欺诈、恶意链接,以及伪装成普通文件或与正常应用程序捆绑等;暴力破解指攻击者针对目标服务器和主机开放的Web服务和应用进行暴力破解,获得控制权限后植入恶意挖矿程序;漏洞利用包括永恒之蓝系列漏洞在内的远程代码执行漏洞,以及Redis这类的未授权访问漏洞;挖矿网站是指部分恶意网站在JS代码(JavaScript)中插入挖矿代码,用户浏览该网站会占用系统CPU进行挖矿,关闭网页后恢复正常。
02挖矿攻击演示
以前段时间非常流行的挖矿家族TeamTNT为例,演示挖矿攻击的过程,主要分为三大部分:第一部分是去公网扫描入侵存在未授权访问漏洞的主机,获取权限后下发执行恶意脚本,植入挖矿程序,第二部分为做权限维持,比如篡改系统命令、创建用户写入SSH公钥等;第三部分为扩大战果,以入侵机器为跳板机,安装masscan、pnscan这类端口扫描工具对外扫描公网其他主机的高危端口,进行进一步入侵。
挖矿受害行业排名靠前的包括中小企业、能源、政府、运营商、教育。然而应急不应成为常态,企业更应构建以“评估-监测-应急”为体系的闭环安全能力。腾讯MSS安全服务可助力企业实现安全评估、风险检测、安全监控、安全加固、漏洞感知与风险监测、应急响应,构建云上入侵预案和应急恢复能力,当出现挖矿入侵时,帮助企业快速恢复业务。
云原生安全防挖矿场景最佳实践
在《挖矿攻击的常见手法与演示》分享之后,腾讯云原生安全产品专家赵志广分享了《云原生安全防挖矿场景最佳实践》,介绍了挖矿攻击的场景、云上业务防护的难点及策略,并详细介绍了腾讯云原生安全防挖矿的最佳安全实践。
03挖矿场景介绍
针对于云上的挖矿攻击,最常见的手法一般有两种,一是扫描暴露在公网上的IP及端口,二是攻击对应端口的漏洞及弱口令。从攻击者视角来看,攻击者在攻击的过程中会大量利用自动化工具、商业化IP代理工具进行探测及绕过。
04云上业务防护难点及策略
云上安全防护的难点在于:开源软件广泛应用带来的不断增多的Log4j2、shiro、fastjson等开源软件漏洞问题;云原生环境带来的环境配置以及环境配置不当出现的容器逃逸、API配置不当、文件驻留、命令执行等应用安全风险项;应用安全逐步左移带来的安全运营治理难题;多端接入导致不同端上防护粒度、处置策略不一致,易被攻击者进行针对性伪装;CC攻击流量、多源低频CC、BOT爬虫等业务流量攻击增加造成的安全运营成本增加。
针对攻击队入侵从“侦查/扫描--武器化投递--漏洞利用--工具安装--C&C--横向移动--持久化”各个阶段的情况,防火墙的核心价值在于梳理云上资产暴露、边界防护、溯源反制、自动拦截非法外联;WAF核心价值在于多级BOT流量管理、有效识别恶意BOT流量、提升业务价值;主机安全的核心价值在于资产管理、密码破解拦截、异常登录提醒、木马文件查杀、合规基线、高危漏洞检测及防御;安全运营中心的核心价值在于云配置合规检查CSPM,全局资产梳理,威胁运营,脆弱性运营,自动化编排响应。
云化带来的边界消失,需要各安全产品协同联动,打破信息孤岛,让防御工事更稳固,即单产品可联动多维数据源、单数据可服务于多安全产品,实现多点协同、联防联控的一体化防御。
05云原生安全防挖矿最佳安全实践
云防火墙——云上第一道防线
腾讯云防火墙作为云上的流量安全中心、策略管控中心,可实现SaaS化一键交付,并通过互联网资产暴露面分析、攻击者视角的漏洞扫描实现事前排查,借助防火墙ACL的主动管控、IPS高危漏洞虚拟补丁、全流量网络日志、恶意外联溯源取证等功能实现实时拦截和溯源取证。
其通过六大步骤实现,第一步是梳理资产与暴露面,适当关闭非必要服务;第二步是开启各边界防火墙开关,全面排查和管控;第三步是启用入侵防御严格模式;第四步是针对脆弱业务进行安全加固;第五步是管控主动外联,阻断主机受控;第六步是告警中心及时预警和发现,通过短信、邮件、微信小程序的通知等多个维度帮咱用户及时做相应的预警。
主机/容器安全——构建资产安全体系
针对挖矿场景,腾讯安全基于AI技术的新一代主机安全防护系统,可从“预防→ 防御→检测→响应”构建完整的主机安全防护体系。基础版提供包括安全概览、主机列表、异常登录、密码破解等功能;专业版重点提供核心安全检测,包括资产管理、入侵检测、漏洞管理、高级防御等;旗舰版重点提供防御阻断+修复能力,包括入侵溯源可视化、云原生安全预警等。
针对容器维度的挖矿防护,腾讯安全推出的容器安全防护解决方案覆盖了容器使用三大关键生命周期,包括容器镜像安全、容器配置安全、容器运行安全。其集成了腾讯云BnaryAI、TAV、洋葱、Wedetect等七大核心引擎,具备高检出率,同时还有云鼎实验室容器安全专家团队加持,拥有业内最大规模容器集群安全治理经验,无需部署,便可一键开启容器安全防护。
安全服务——云原生托管服务
腾讯安全托管服务(MSS)结合云租户最佳安全实践,通过集成腾讯自研安全系统+全网攻击数据+情报体系,依托云原生MSS服务赋能云上租户,轻松构建平台级安全服务能力,可实现7*24 小时类型安全运营托管,覆盖安全运营全生命周期。
云原生安全防挖矿勒索入侵最佳实践配置
腾讯安全云原生体系化防御以用户为中心打造核心能力,具备更高效、更安全、更省心的优势,为云上防勒索、防挖矿、防入侵提供了完整的解决方案,时刻守护云端业务。基于多年黑灰产对抗经验,针对挖矿勒索等风险,云原生安全防挖矿勒索入侵最佳实践配置可总结为“非必要不暴露”、“堵漏洞”、“管外联”、“常体检”四部曲。部署腾讯云原生安全解决方案,可快速构建全方位的立体防御体系,打破挖矿勒索攻击者的入侵路径,保障云上业务的稳健运营。
直播互动与提问
提问一:怎么判定自己被挖矿了?该如何来解决?
高智鹏:第一,可以通过系统的进程文件去判断,比如CPU超负载,这是非常明显的现象;第二,可以从流量的维度去推测,因为挖矿之后,挖矿的主机和矿石之间会进行通讯。
关于如何解决,可以在被挖矿的主机上查一些关键的挖矿进程,看这些进程在哪些文件里,然后用腾讯安全服务的主机安全把这些文件进行隔离。
提问二:挖矿的原理是什么?在没有安全工具的情况下该如何进行防护?
赵志广:从原理来讲,挖矿更多的是对CPU做相应的占用,他的攻击手法是前期做入侵的扫描,中期做恶意命令的执行,后期做相应的计划持久化,并且会隐藏自身的进程,甚至会对常见的命令做出篡改。
如果没有购买安全产品,需要专业的安全团队对整个挖矿的入侵做一个整体的监测,对已经中了挖矿木马的这些主机做到及时地隔离。比如通过腾讯云的网络安全组可以对出入项的流量做相应的隔离和阻断。
第二个维度是快速的对异常通信的流量做相应的拦截。第三个维度是去检查有没有恶意的计划任务,单单清除进程是治标不治本。同时还要清理相应的恶意启动项,包括恶意的iso和不在正常范围内的SSK的公钥。以上这些都处理好后再去清理相应的挖矿木马的进程。
以上是本次《原引擎·云原生安全实战加速舱》专题公开课两位专家观点的精华整理。腾讯安全一直致力于将安全前置,构建从风险识别、风险检测、防护响应及恢复、到可持续运营的云原生安全治理体系。未来,腾讯安全将进一步打造更具细粒度的云原生安全产品,以云原生的方式构筑新一代云上安全防护体系,为产业互联网打造一个更为坚实的安全底座。