隨著
云計(jì)算技術(shù)的逐漸成熟,云服務(wù)憑借高效的管理模式、便捷的使用方式和靈活的付費(fèi)方式受到了企業(yè)、政府、個(gè)人用戶的青睞。然而,巨大的市場(chǎng)背后也對(duì)云服務(wù)商的運(yùn)營(yíng)、維護(hù)提出了不小的挑戰(zhàn)。一旦云端服務(wù)器被不法分子攻擊,用戶數(shù)據(jù)將面臨嚴(yán)重的安全威脅。
正因?yàn)楸憬,許多人就花幾分鐘開(kāi)個(gè)服務(wù)器,然后就專心于業(yè)務(wù)的開(kāi)發(fā)和部署了,對(duì)于服務(wù)器運(yùn)維方面,則沒(méi)那么關(guān)注。這很像之前面向普通用戶的軟件所提倡的“click it, then forget it”,使用體驗(yàn)很贊;然而也正是“forget it”,造成了巨大的安全隱患。
騰訊安全旗下騰訊安全聯(lián)合實(shí)驗(yàn)室反病毒實(shí)驗(yàn)室和騰訊安全聯(lián)合實(shí)驗(yàn)室云鼎實(shí)驗(yàn)室聯(lián)合響應(yīng)小組,就發(fā)現(xiàn)的多起針對(duì)騰訊云Win平臺(tái)的入侵和資源盜竊攻擊進(jìn)行了分析,這些攻擊主要集中在內(nèi)網(wǎng)入侵、挖礦、肉雞利用、DDoS等方面。
為了讓用戶不受惡意軟件侵?jǐn)_,通過(guò)騰訊云安全中心情報(bào)聯(lián)動(dòng)機(jī)制,我們幫助用戶清除和防范了這些威脅,讓用戶自己的資源完全掌控在自己手里。
那么在云端黑客最喜歡的攻擊和攻擊后的利用方式是什么?我們?cè)撊绾畏婪哆@些風(fēng)險(xiǎn)呢?請(qǐng)看下文。
云端首要威脅
我們分析了這些攻擊中所使用的惡意軟件樣本,并對(duì)樣本攔截情況做了相關(guān)統(tǒng)計(jì),Top5的樣本攔截次數(shù)如下:
來(lái)自LapKa后門家族的樣本攻擊非常頻繁,幾乎是其他幾個(gè)家族病毒的總和。
同時(shí)這5類樣本的新樣本增加也非常多,高峰時(shí)期最高達(dá)到90/天左右:
病毒頻繁的活動(dòng)引起了我們的注意,接下來(lái),我們就對(duì)這幾類病毒抽絲剝繭,詳細(xì)審視一番。
威脅詳解
那么這些威脅有什么特點(diǎn)呢?一般通過(guò)什么途徑在云上傳播呢?讓我們接著看:
1,Nitol僵尸網(wǎng)絡(luò)家族,騰訊反病毒服務(wù)檢出為L(zhǎng)apka和Macri。會(huì)感染內(nèi)網(wǎng)其他機(jī)器。
我們?cè)诙嗯_(tái)服務(wù)器上檢出了該樣本五花八門的變種。之所以感染范圍如此之廣,是因?yàn)榇祟愖兎N會(huì)掃描內(nèi)網(wǎng)然后暴力破解其他主機(jī)登錄密碼,破解后部署變種在上邊。然后控制服務(wù)器發(fā)動(dòng)DDoS攻擊,監(jiān)控你的業(yè)務(wù),等等。
詳細(xì)分析:
1.木馬在運(yùn)行開(kāi)始時(shí)設(shè)置自身的服務(wù)名,并且檢查該服務(wù)是否已安裝在注冊(cè)表中,若已安裝則啟動(dòng)服務(wù),若未安裝則將自身拷貝到系統(tǒng)目錄,安裝該服務(wù),創(chuàng)建注冊(cè)表,并啟動(dòng)服務(wù)。
2.服務(wù)啟動(dòng)之后,會(huì)嘗試使用內(nèi)置的弱口令字典對(duì)內(nèi)網(wǎng)進(jìn)行爆破,若爆破成功則對(duì)內(nèi)網(wǎng)機(jī)器進(jìn)行感染傳播,將自身以特定的文件名復(fù)制到內(nèi)網(wǎng)機(jī)器的各磁盤上,并遠(yuǎn)程啟動(dòng)該服務(wù)。
3.服務(wù)啟動(dòng)后,木馬與遠(yuǎn)程C&C控制端開(kāi)始通信,將本機(jī)的系統(tǒng)版本、機(jī)器名稱、系統(tǒng)的啟動(dòng)時(shí)間、CPU頻率、內(nèi)存大小等信息上傳至控制端,同時(shí)接收并執(zhí)行遠(yuǎn)程控制端發(fā)送的命令,包括下載文件、打開(kāi)IE瀏覽器、進(jìn)行DDoS攻擊等。
4.Nitol樣本除了暴力破解內(nèi)網(wǎng)之外,一般和NSA公布的Shadowbreakers漏洞利用套件結(jié)合起來(lái)傳染部署。在受到感染的機(jī)器上,很多都同時(shí)存在該漏洞套件的文件。下圖是在我們幫助下清理威脅的一位客戶機(jī)器上的漏洞套件文件:
2,Remoh,CoinMiner家族。入侵后偷偷在后臺(tái)挖礦。
這類樣本會(huì)偷偷地在后臺(tái)挖礦,耗掉你大部分cpu資源。
更可惡的是該樣本家族在內(nèi)網(wǎng)還會(huì)通過(guò)ftp感染其他機(jī)器。同時(shí),此類樣本還會(huì)偽裝成屏;蛘哒_M(jìn)程,防止用戶發(fā)現(xiàn):
詳細(xì)分析:
Remoh,CoinMiner家族樣本會(huì)通過(guò)嵌入在網(wǎng)頁(yè)上的IFRAME標(biāo)簽來(lái)強(qiáng)制瀏覽器下載木馬文件,在用戶不知情的情況下在用戶電腦啟動(dòng)挖礦進(jìn)程,占用用戶計(jì)算資源。
1.木馬在啟動(dòng)之后把自身復(fù)制到各個(gè)磁盤的根目錄。挖礦使用的礦池地址編碼在木馬中,并且將礦池信息存儲(chǔ)在temp目錄下的文檔中。
2.木馬挖礦進(jìn)程所需的參數(shù)包括礦池地址、挖礦協(xié)議、線程數(shù)、錢包地址、密碼,其中池地址從文檔中獲取,同時(shí)可以得知所使用的挖礦協(xié)議為stratum,其他參數(shù)均是從特定網(wǎng)頁(yè)中取到。
直接取到的內(nèi)容為加密數(shù)據(jù),以下為其解密算法:
解密后木馬挖礦進(jìn)程開(kāi)始進(jìn)行挖礦,以下為其中一個(gè)運(yùn)行示例:
4.木馬為了傳播自身,會(huì)通過(guò)弱口令字典嘗試訪問(wèn)內(nèi)網(wǎng)的其他機(jī)器,也向多個(gè)ip地址發(fā)起ftp請(qǐng)求,一旦訪問(wèn)成功則將自身復(fù)制到其他機(jī)器的各個(gè)磁盤,以達(dá)到傳播自身的目的。
3,F(xiàn)arfli家族。通過(guò)感染宿主文件,使宿主文件具備后門能力。
這類樣本會(huì)感染常用EXE文件,染毒的文件運(yùn)行之后也會(huì)自動(dòng)運(yùn)行惡意代碼,執(zhí)行遠(yuǎn)控,繼續(xù)感染其他文件,破壞于無(wú)形之中。非?膳,防不勝防!
詳細(xì)分析:
1.木馬啟動(dòng)后會(huì)復(fù)制自身到C:\Program Files\Microsoft ******\系統(tǒng)目錄下,并且重命名為7個(gè)隨機(jī)字符的名字,創(chuàng)建進(jìn)程并添加注冊(cè)表自啟動(dòng)項(xiàng)。
2.然后通過(guò)運(yùn)行新生成的一個(gè)vbs腳本將自身刪除,同時(shí)再將該vbs腳本刪除。
3.啟動(dòng)的新進(jìn)程解密出遠(yuǎn)程通信地址,建立起與遠(yuǎn)程控制端的通信連接,接收控制端發(fā)來(lái)的命令,包括獲取并上傳機(jī)器個(gè)磁盤的文件名、記錄鍵盤操作、定時(shí)關(guān)機(jī)等:
防護(hù)小貼士
安全無(wú)小事,處處得留心。針對(duì)上述情況,我們準(zhǔn)備了些安全小貼士,遵守這些規(guī)則可以幫助你規(guī)避大多數(shù)安全風(fēng)險(xiǎn):
1,服務(wù)器請(qǐng)勿使用Admin賬戶和弱密碼。
2,留意后臺(tái)不合理資源消耗。
3,確認(rèn)使用的軟件時(shí)原版文件。
4,開(kāi)啟騰訊云上“云鏡”主機(jī)防護(hù)服務(wù),“云鏡”已全面接入Tav反病毒引擎。無(wú)須擔(dān)心上述威脅侵襲。
核心關(guān)注:拓步ERP系統(tǒng)平臺(tái)是覆蓋了眾多的業(yè)務(wù)領(lǐng)域、行業(yè)應(yīng)用,蘊(yùn)涵了豐富的ERP管理思想,集成了ERP軟件業(yè)務(wù)管理理念,功能涉及供應(yīng)鏈、成本、制造、CRM、HR等眾多業(yè)務(wù)領(lǐng)域的管理,全面涵蓋了企業(yè)關(guān)注ERP管理系統(tǒng)的核心領(lǐng)域,是眾多中小企業(yè)信息化建設(shè)首選的ERP管理軟件信賴品牌。
轉(zhuǎn)載請(qǐng)注明出處:拓步ERP資訊網(wǎng)http://www.ezxoed.cn/
本文標(biāo)題:云服務(wù)首要威脅分析:用戶如何保護(hù)自己的資產(chǎn)?
本文網(wǎng)址:http://www.ezxoed.cn/html/support/11121824041.html