云服务首要威胁分析:用户如何保护自己的资产?

随着云计算技术的逐渐成熟,云服务凭借高效的管理模式、便捷的使用方式和灵活的付费方式受到了企业、政府、个人用户的青睐。然而,巨大的市场背后也对云服务商的运营、维护提出了不小的挑战。一旦云端服务器被不法分子攻击,用户数据将面临严重的安全威胁。

正因为便捷,许多人就花几分钟开个服务器,然后就专心于业务的开发和部署了,对于服务器运维方面,则没那么关注。这很像之前面向普通用户的软件所提倡的“click it, then forget it”,使用体验很赞;然而也正是“forget it”,造成了巨大的安全隐患。

腾讯安全旗下腾讯安全联合实验室反病毒实验室和腾讯安全联合实验室云鼎实验室联合响应小组,就发现的多起针对腾讯云 Win 平台的入侵和资源盗窃攻击进行了分析,这些攻击主要集中在内网入侵、挖矿、肉鸡利用、DDoS 等方面。

为了让用户不受恶意软件侵扰,通过腾讯云安全中心情报联动机制,我们帮助用户清除和防范了这些威胁,让用户自己的资源完全掌控在自己手里。

那么在云端黑客最喜欢的攻击和攻击后的利用方式是什么?我们该如何防范这些风险呢?请看下文。

云端首要威胁

我们分析了这些攻击中所使用的恶意软件样本,并对样本拦截情况做了相关统计,Top5 的样本拦截次数如下:

来自 LapKa 后门家族的样本攻击非常频繁,几乎是其他几个家族病毒的总和。

同时这5类样本的新样本增加也非常多,高峰时期最高达到90/天左右:

病毒频繁的活动引起了我们的注意,接下来,我们就对这几类病毒抽丝剥茧,详细审视一番。

威胁详解

那么这些威胁有什么特点呢?一般通过什么途径在云上传播呢?让我们接着看:

一、Nitol 僵尸网络家族,腾讯反病毒服务检出为 Lapka 和 Macri,会感染内网其他机器

我们在多台服务器上检出了该样本五花八门的变种。之所以感染范围如此之广,是因为此类变种会扫描内网然后暴力破解其他主机登录密码,破解后部署变种在上边。然后控制服务器发动 DDoS 攻击,监控你的业务,等等。

详细分析:

1. 木马在运行开始时设置自身的服务名,并且检查该服务是否已安装在注册表中,若已安装则启动服务,若未安装则将自身拷贝到系统目录,安装该服务,创建注册表,并启动服务。

2. 服务启动之后,会尝试使用内置的弱口令字典对内网进行爆破,若爆破成功则对内网机器进行感染传播,将自身以特定的文件名复制到内网机器的各磁盘上,并远程启动该服务。

3. 服务启动后,木马与远程 C&C 控制端开始通信,将本机的系统版本、机器名称、系统的启动时间、CPU 频率、内存大小等信息上传至控制端,同时接收并执行远程控制端发送的命令,包括下载文件、打开 IE 浏览器、进行 DDoS 攻击等。

4. Nitol 样本除了暴力破解内网之外,一般和 NSA 公布的 Shadowbreakers 漏洞利用套件结合起来传染部署。在受到感染的机器上,很多都同时存在该漏洞套件的文件。下图是在我们帮助下清理威胁的一位客户机器上的漏洞套件文件:

二、Remoh、CoinMiner 家族,入侵后偷偷在后台挖矿

这类样本会偷偷地在后台挖矿,耗掉你大部分 cpu 资源。

更可恶的是该样本家族在内网还会通过 ftp 感染其他机器。同时,此类样本还会伪装成屏保或者正常进程,防止用户发现:

详细分析:

Remoh、CoinMiner 家族样本会通过嵌入在网页上的 IFRAME 标签来强制浏览器下载木马文件,在用户不知情的情况下在用户电脑启动挖矿进程,占用用户计算资源。

1、木马在启动之后把自身复制到各个磁盘的根目录。挖矿使用的矿池地址编码在木马中,并且将矿池信息存储在 temp 目录下的文档中。

2、木马挖矿进程所需的参数包括矿池地址、挖矿协议、线程数、钱包地址、密码,其中池地址从文档中获取,同时可以得知所使用的挖矿协议为 stratum,其他参数均是从特定网页中取到。

直接取到的内容为加密数据,以下为其解密算法:

解密后木马挖矿进程开始进行挖矿,以下为其中一个运行示例: 

3、木马为了传播自身,会通过弱口令字典尝试访问内网的其他机器,也向多个 ip 地址发起 ftp 请求,一旦访问成功则将自身复制到其他机器的各个磁盘,以达到传播自身的目的。

三、Farfli 家族,通过感染宿主文件其具备后门能力

这类样本会感染常用 EXE 文件,染毒的文件运行之后也会自动运行恶意代码,执行远控,继续感染其他文件,破坏于无形之中。非常可怕,防不胜防!

详细分析:

1、木马启动后会复制自身到C:\Program Files\Microsoft ******\ 系统目录下,并且重命名为7个随机字符的名字,创建进程并添加注册表自启动项。

2、 然后通过运行新生成的一个 vbs 脚本将自身删除,同时再将该 vbs 脚本删除。

3、 启动的新进程解密出远程通信地址,建立起与远程控制端的通信连接,接收控制端发来的命令,包括获取并上传机器个磁盘的文件名、记录键盘操作、定时关机等:

防护小贴士

安全无小事,处处得留心。针对上述情况,我们准备了些安全小贴士,遵守这些规则可以帮助你规避大多数安全风险:

1 > 服务器请勿使用 Admin 账户和弱密码;

2 > 留意后台不合理资源消耗;

3 > 确认使用的软件时原版文件;

4 > 开启腾讯云上“云镜”主机防护服务,“云镜”已全面接入 Tav 反病毒引擎。无须担心上述威胁侵袭。

封面配图来源:steemit

原文发布于微信公众号 - 腾讯云安全(TencentCloudSecurity)

原文发表时间:2017-12-07

本文参与腾讯云自媒体分享计划,欢迎正在阅读的你也加入,一起分享。

发表于

我来说两句

0 条评论
登录 后参与评论

相关文章

来自专栏友弟技术工作室

EOS.IO 技术白皮书背景区块链应用的要求共识算法 (DPOS)帐户应用程序的确定性并行执行Token 模型与资源使用治理脚本 & 虚拟机跨链通信总结

草案:2017 年 6 月 26 日 (@dayzh (https://steemit.com/@dayzh))

722
来自专栏区块链百科,区块链行业报告

分片技术(Sharding):化整为零,分而治之

目前的区块练技术面临着一个巨大的瓶颈,那就是:如何有效地提升区块的吞吐量(TPS)。

712
来自专栏腾讯云安全的专栏

云服务首要威胁分析:用户如何保护自己的资产?

随着云计算技术的逐渐成熟,云服务凭借高效的管理模式、便捷的使用方式和灵活的付费方式受到了企业、政府、个人用户的青睐。然而,巨大的市场背后也对云服务商的运营、...

1512
来自专栏安恒信息

警惕隐藏在购物狂欢节背后的黑客攻击

根据安恒APT云端在对来自北美的流量监控过程中,发现一封来自美国的可疑邮件,该邮件的主题是《您收到的优惠券》,发件人名称显示为“天猫”。 ? 但进一步对发件人的...

2678
来自专栏FreeBuf

Mac系统的Proton恶意软件:卷!土!重!来!

Mac恶意软件OSX.Proton强势回归,这次他们的袭击目标是Eliteima官网上发布的Elmedia Player应用程序副本。到目前为止,没有人知道这个...

2226
来自专栏安恒信息

邮箱安全服务专题第5期 | 邮箱APT检测分析关键技术

上一期我们介绍了钓鱼邮件的常规检测方法,其实,无论采用怎么样的方式,人的安全意识永远都是第一位,纵使钓鱼邮件写得多么诱人深入人心,只要我们守住底线,点击之前先思...

2906
来自专栏FreeBuf

躲不掉的红色炸弹,这次真的「爆」了

声明:本文由【MS509 Team】成员expsky原创,仅用于技术交流分享,禁止将相关技术应用到不当途径。 收到朋友的婚宴请帖后通常都要破费,而且不便躲避,所...

1847
来自专栏FreeBuf

好莱坞特工必备:维基解密公开CIA用来关闭摄像头监控的工具Dumbo

在过去的 20 年里,我们看到成百上千的电影中,秘密间谍或银行抢劫者通过劫持监控摄像机,让监控录制停止或开始无限循环,随后秘密行动悄无声息地开始,不会留下任何痕...

2873
来自专栏落影的专栏

浅谈iOS区块链项目的架构设计

1393
来自专栏FreeBuf

看看印尼黑客如何利用电影大片进行网络攻击

网络犯罪分子每天都在想尽各种办法来进行攻击,这对于信息安全从业者来说再正常不过了,而这一次印尼网络犯罪组织开始利用电影大片来欺骗目标用户访问已受感染的网站。

950

扫码关注云+社区