敲黑板 | 如何更好地保护云上资产？

“云”越来越不陌生，云上庞大的资产也成为不法分子觊觎的对象，他们喜欢窥探各处的信息，并使用工具，批量扫描、利用漏洞入侵机器，达到控制机器的效果；他们利用一个漏洞就能完成一系列操作，在你的设备上留下后门，进行挖矿、DDoS 等行为。

2016-2017年

Petya、WannaCry 勒索病毒相继出现，国内外多家大型企业被攻击，政府、银行、电力系统、通讯系统不同程度被影响；

2016年10月，美国东部大规模网络瘫痪，大量知名平台受到 DDoS 攻击。

2017年10月

某汽车厂商的公有云基础设施被爆曾遭黑客入侵，地图、遥测和车辆服务有关的一些专有数据均发现盗取痕迹，黑客甚至还利用该账号借云平台挖矿。而被入侵原因却简单到你可能不信：工程师没有给 Kubernetes 服务器设置访问密码。

2018年1月

2018年1月，荷兰三大银行遭 DDoS 攻击，服务集体瘫痪；

2018年2月，知名代码托管平台遭遇大规模 Memcached DDoS 攻击，流量峰值高达1.35 Tbps，攻击峰值在3月又创新高达1.7 Tbps。

2018年8月、12月

暗网相继出现两家知名酒店集团客户数据售卖帖。

2019年2月

公有云平台及大量外部 Linux 服务器因存在安全漏洞被入侵，租户服务器被植入隐藏性挖矿蠕虫病毒 watchdogs。

…

云上常见四大风险

你听过的这些案例，其实都跟云紧密关联，云上攻击，发生得离我们越来越近，腾讯安全云鼎实验室将常见的几大风险归纳如下。

01

暴力破解

攻击者通过已经拥有的用户名和密码字典，一个一个去枚举，尝试登录。

云服务器登录口令就像密码门锁的密码，假如这把锁的密码只有6位数字，那么小偷做10万次之内的尝试就可以成功，当小偷有专门的工具，几秒钟之内就能自动破解。

02

入侵挖矿

攻击者入侵机器后，占用机器资源，利用受害者的机器下载软件，然后运行特定算法，与远方服务器通讯后可得到相应比特币、门罗币。

假如你开了个工厂，请100个工人，而挖矿就像把你的工人全骗走，帮别人工作。最后你发现自己的订单无法完成。

03

加密勒索

入侵机器获取权限后，将所有有价值的信息全部加密，受害者交出“赎金”才会给出解密方法，或者直接销毁。

好比有小偷溜进家后，给你的保险箱上了一道锁，而你的所有重要资料都在这保险箱里面。只有给钱才帮你开锁，当然，也有那种收了钱“撕票”的情况。

04

DDoS攻击

分布式拒绝服务攻击，攻击者向目标发送大量互联网流量，使得受害者机器“拒绝服务”。

正在营业的饭店，却被店门口一大堆无业游民堵得水泄不通，无法正常营业。

……

云安全风险应对措施

在互联网上，每当我们有服务开放到外网端口，就会发现自己的机器被大量扫描的痕迹，看不见的入侵者正虎视眈眈。除 Windows、Linux 系统的服务器之外， IoT 设备也是目标之一。它们被入侵的原因有很多，最核心原因有服务的未授权访问、弱口令、系统和软件漏洞，这些主要是用户的运维不当或者没有及时更新补丁等才导致漏洞产生和被利用。

应对这些问题，主要解决方案如下：

1、Redis，MySQL，MongoDB 等应用需要设置密码，限制 IP 访问，并升级到最新版；

2、把登录密码尽量设置复杂一些，最好包含数字，大小写字母，特殊符号，限制登录 IP，Linux 最好能限制只使用密钥登录；

3、关注微软发布的补丁，关注使用软件的最新安全公告，如 Jenkins、WordPress、Struts2、JBoss 等，及时升级到最新版本或修补旧版本漏洞；

PS：DDoS 攻击的应对措施，只有一种选择，防患于未然，购买安全产品部署防护。

金融公司内网登录困难，

为何连带影响它的客户？

云鼎实验室服务过的某家金融公司，员工发现内网的机器开始变得很难登录，登录上之后也一直卡顿，更麻烦的是，这种情况还在继续蔓延，已经影响自家客户公司的正常办公。内部技术人员排查一番后无果。

与此同时，v2ex、微博上已有用户表示碰到了相同情况，发现自己的 crontab 被修改，就算删除了 crontab 也会被再次添加，但是内存和 CPU 均未发现异常。

一筹莫展之时，该公司的技术人员关注到云鼎实验室发布的该病毒分析文章，这才解了疑惑，明白机器中了一种新型的 watchdogs 隐藏性挖矿蠕虫病毒。

这种病毒会通过漏洞植入挖矿病毒和隐藏模块。挖矿病毒会导致客户的服务器卡顿，CPU 占用率居高不下。而植入的病毒还会在内网进行 SSH 扫描，使得更多的内网机器中招。除了这些病毒的“常规操作”，watchdogs 病毒还能隐藏自己，常用的 linux 命令 ps、ls、rm 等对它根本不起作用，导致大家用普通方式查看内存和 CPU 都发现不了异常，就算发现了，也没办法删除恶意文件。

云鼎实验室通过逆向分析，梳理出了 watchdogs 的脉络，如图：

那么，为什么 watchdogs 病毒可以隐藏自己呢？

Linux 系统中提供了一种加载动态库的方式，即把需要调用的动态链接库的路径写入/etc/ld.so.preload文件。watchdogs 使用 Linux 的这种机制，通过加载自己实现的一个动态链接库 libioset.so，实现了对进程的隐藏，这个动态链接库隐藏了自身和相关的文件，如下图：

此动态链接库还 Hook 了一些内核函数，如 readdir、rmdir，导致 ls 和 rm 等命令无效，如下图：

找到病毒隐藏的原理，清理就比较轻松了，根据云鼎实验室分析文章中给出的解决方案，客户依次删除了动态链接库，删除了后门，这才终于清除了木马，并修复了这次的罪魁祸首：Redis 未授权访问漏洞。

广大企业面临着和以上企业一样的问题，每一家做云服务的企业也都有一群默默守护着这些云上资产的人，腾讯安全云鼎实验室更是肩负整个腾讯云平台安全的重任。云鼎实验室每天发现约10亿次暴力破解请求，平均每分钟就有70万次，入侵挖矿每天高达数百起，应对大规模的攻击已措置裕如。

利益诱惑下，一群有组织的人正利用漏洞在互联网上建立他们的攻击帝国，入侵、扫描、感染服务器有规模地进行着，而广大企业将资产放于云上由资源更丰富的安全团队管理能更好地应对风险。攻击者不是一个人在“战斗”，我们也不是。

关注腾讯云安全获取更多资讯

点右下角「在看」

开始我们的故事

var first_sceen__time = (+new Date());if ("" == 1 && document.getElementById('js_content')) { document.getElementById('js_content').addEventListener("selectstart",function(e){ e.preventDefault(); }); } (function(){ if (navigator.userAgent.indexOf("WindowsWechat") != -1){ var link = document.createElement('link'); var head = document.getElementsByTagName('head')[0]; link.rel = 'stylesheet'; link.type = 'text/css'; link.href = "//res.wx.qq.com/mmbizwap/zh_CN/htmledition/style/page/appmsg_new/winwx45ba31.css"; head.appendChild(link); } })();

安全攻防 Team

赞赏

长按二维码向我转账

受苹果公司新规定影响，微信 iOS 版的赞赏功能被关闭，可通过二维码转账支持公众号。

阅读

分享 在看

已同步到看一看

取消 发送

我知道了

朋友会在“发现-看一看”看到你“在看”的内容

确定

已同步到看一看写下你的想法

最多200字，当前共字 发送

已发送

朋友将在看一看看到

确定

写下你的想法...

取消

发布到看一看

确定

最多200字，当前共字

发送中

微信扫一扫 关注该公众号

微信扫一扫 使用小程序

即将打开""小程序

取消 打开