一、报告背景 产业互联网时代,云计算 IT 架构以更简单的架构设计、更高的性价比、更灵活的系统 颠覆了传统 IT 基础架构,但随着算力、IT 架构、攻防节奏、以及数据资产的不断变化,也 为云上安全提出了新的挑战。 随着业务上云的兴起,安全攻防的主战场也转而上云。在腾讯全球数字生态大会上, 腾讯副总裁丁珂指出, “产业互联网让国民经济更具韧性,也让有准备的企业家迎来新 的机遇。产业上云,安全先行,在数字化升级过程中,要以战略视角、产业视角和生 态视角去看待安全,进行前置部署。“ 对于多数处于数字化转型期的企业来说,安全设备、研发投入、人才招聘的成本 负担很高,从零开始自建防御体系难度颇大,企业上云是应对数字时代安全问题的“最 优解”。 腾讯在网络安全耕耘 20 余年的经验,拥有 7 大安全实验室超过 3500 人的专业 安全团队。依托云原生安全思路,我们构建了云适配的原生安全产品架构,既可以有 效地保障腾讯云平台自身安全,也能让云上企业有效降低安全运营门槛、提升整体的 安全水位。使得公有云的政企用户在面临来自世界各地的网络攻击时,仍能从容应对。 本报告将 2020 年,针对公有云的攻击特点进行总结,帮助政企用户更全面的掌 控云上安全风险,及时采用正确的应对措施,化解网络安全威胁,让 IT 平台更好地服 务业务和最终用户。 1 二、云上安全风险 1、恶意木马 1.1 恶意木马趋势 云上恶意木马事件在下半年有明显上升。 图1 从恶意木马检出结果来看,有 6.3%的公司曾在一个月内发现恶意木马事件,这一数据 表明云上主机发生恶意木马入侵事件已不是小概率事件(统计学上,通常将概率低于 5%称 为小概率事件。 ) 1.2 恶意木马类型 Top 榜 从检出的恶意木马统计可以发现,公有云用户所中木马的类型主要为感染型木马、 DDoS 攻击木马和后门木马。感染型木马具有主动扩散能力,建议发现主机存在感染型木马 2 时,立即进行全盘扫描,防止进一步扩散。 图2 1.3 恶意木马处理情况 在发现的恶意木马中,有 27%的恶意木马未及时处理,建议及时处理,防止进一步扩 散。此外有 1%的病毒木马被信任,这是个值得警惕的指标,强烈建议不要轻易将恶意木马 添加至信任区。 图3 3 1.4 典型案例 Mirai 僵尸网络利用 Apache Hadoop Yarn 资源管理系统 REST API 未授权访问漏洞入侵云主机 腾讯安全威胁情报中心检测到 Mirai 僵尸网络利用 Apache Hadoop Yarn 资源管理系 统 REST API 未授权访问漏洞入侵云主机,入侵传播的 Mirai 木马会通过 C&C 服务器下发 命令进行 DDoS 攻击。 早在 2018 年腾讯云鼎实验室就披露过恶意软件利用 Hadoop Yarn REST API 未授权 漏洞入侵挖矿的案例(https://www.freebuf.com/vuls/173638.html) 。两周前,腾讯安全 威 胁情 报中心 发现“ 永恒 之蓝 ”下载 器木马 最新 变种 同样利 用该漏 洞进 行攻 击传播 (https://mp.weixin.qq.com/s/953ZHaf8IjLGyxB3tWSoDQ) 。可见,由于运维人员在创 建容器集群时缺乏安全意识,未对 Hadoop Yarn 进行安全配置,致使越来越多的黑客通过 该漏洞入侵云服务器。 参考链接:https://mp.weixin.qq.com/s/IdKj2OZmVIUcj9RSERdlTQ 挖矿木马团伙 z0Miner 利用 Weblogic 未授权命令执行漏洞(CVE2020-14882/14883)的攻击行动 腾讯主机安全(云镜)于 2020.11.02 日捕获到挖矿木马团伙 z0Miner 利用 Weblogic 未授权命令执行漏洞(CVE-2020-14882/14883)的攻击行动。该团伙通过批量扫描云服 务器发现具有 Weblogic 漏洞的机器,发送精心构造的数据包进行攻击。之后执行远程命令 下载 shell 脚本 z0.txt 运行,再利用该 shell 脚本植入门罗币挖矿木马、挖矿任务本地持久 化,以及通过爆破 SSH 横向移动。根据该团伙控制的算力推算,已有大约 5000 台服务器 4 受害。 由于 Weblogic 未授权命令执行漏洞(CVE-2020-14882/14883)10 月 21 日才被官 方公布,有许多企业未来得及修复,同时该漏洞的补丁存在被绕过的风险。因此该挖矿木马 可能对云主机造成较大威胁。 参考链接:https://mp.weixin.qq.com/s/cyPZpB4zkSQccViM0292Zg 腾讯主机安全(云镜)捕获 Kaiji DDoS 木马通过 SSH 爆破入侵 腾讯安全威胁情报中心在为客户提供安全巡检服务时,发现腾讯主机安全(云镜)告警 SSH 爆破入侵事件,遂对事件进行溯源追查,溯源到有疑似国内黑客开发的木马 Kaiji 通过 22 端口弱口令爆破入侵服务器。攻击者入侵云主机会下载二进制木马将自身安装到系统启 动项进行持久化,并且可根据 C2 服务器返回的指令进行 DDoS 攻击。 参考链接:https://mp.weixin.qq.com/s/hacyPAA82rgEBivwOYhuEg Mykings 僵尸网络新变种传播 PcShare 远程控制木马 腾讯安全威胁情报中心检测到 Mykings 挖矿僵尸网络变种木马,更新后的 Mykings 会 在被感染系统安装开源远程控制木马 PcShare,对受害电脑进行远程控制:可进行操作文件、 服务、注册表、进程、窗口等多种资源,并且可以下载和执行指定的程序。 Mykings 僵尸网络木马还会关闭 Windows Defender、检测卸载常见杀毒软件;卸载 竞品挖矿木马和旧版挖矿木马;下载“暗云”木马感染硬盘主引导记录(MBR)实现长期驻 留;通过计划任务、添加启动项等实现开机自动运行等行为。 MyKings 僵尸网络最早于 2017 年 2 月左右开始出现,该僵尸网络通过扫描互联网上 1433 及其他多个端口渗透进入受害者主机,然后传播包括 DDoS、Proxy(代理服务) 、RAT 5 (远程控制木马)、Miner(挖矿木马)、暗云 III 在内的多种不同用途的恶意代码。由于 MyKings 僵尸网络主动扩散的能力较强,影响范围较广,对企业用户危害严重。根据门罗 币钱包算力 1000KH/s 进行推测,Mykings 僵尸网络目前已控制超过 5 万台电脑进行挖矿 作业。 参考链接:https://mp.weixin.qq.com/s/wZvnq6gVnEdGSH6f6oG8MA Muhstik 僵尸网络通过 SSH 爆破攻击国内云服务器 腾讯安全威胁情报中心检测到大量源自境外 IP 及部分国内 IP 针对国内云服务器租户 的攻击。攻击者通过 SSH(22 端口)爆破登陆服务器,然后执行恶意命令下载 Muhstik 僵 尸网络木马。该僵尸网络会控制失陷服务器执行 SSH 横向移动、下载门罗币挖矿木马和接 受远程指令发起 DDoS 攻击。 腾讯安全威胁情报中心经过用户授权,对此次攻击进行溯源分析,发现国内多家知名企 业的云服务器均受到该僵尸网络攻击,目前已有上千台服务器沦陷受害。腾讯安全专家建议 相关企业采取必要措施,拦截入侵者,恢复已失陷的系统。 参考链接:https://mp.weixin.qq.com/s/ExBUifhDQTQEbU3sz7WNVA GuardMiner 挖矿木马活跃,具备蠕虫化主动攻击能力 腾讯安全威胁情报中心检测到跨平台挖矿木马 GuardMiner 近期十分活跃,该木马会 扫描攻击 Redis、Drupal、Hadoop、Spring、thinkphp、WebLogic、SQLServer、 Elasticsearch 多个服务器组件漏洞,并在攻陷的 Windows 和 Linux 系统中分别执行恶意 脚本 init.ps1,init.sh,恶意脚本会进一步下载门罗币挖矿木马、清除竞品挖矿木马并进行 本地持久化运行。在 Linux 系统上利用 SSH 连接和 Redis 弱口令爆破进行内网扩散攻击。 6 因挖矿守护进程使用文件名为 sysguard、sysguerd、phpguard,腾讯安全威胁情报中心 将该挖矿木马命名为 GuardMiner。 因该病毒已具备蠕虫化主动攻击扩散的能力,近期已有较多企业中招。腾讯安全专家建 议政企机构尽快修复服务器组件漏洞,相关服务避免使用弱口令。腾讯安全系列产品均可检 测并协助清除 GuardMiner 挖矿木马。 参考链接:https://mp.weixin.qq.com/s/-nUrNilr-iq7kbmopaqXwA 2、云上勒索 一部分黑客入侵云主机之后,会尝试实施勒索攻击,腾讯安全目前观察到针对云上勒索 的攻击有两类情况:数据库锁库勒索和勒索病毒加密。幸运的是,大量黑灰产业攻击云上主 机,最终用来挖矿的最为常见,其次是作为攻击跳板或控制失陷主机组建僵尸网络,直接实 施勒索攻击的相对少见。 一类是数据库锁库勒索,以 mysql 数据库勒索最为常见。攻击过程通常包括 3 步: 1) 信息收集:通过开源代码泄露,默认端口扫描等方式,获取到存在 mysql 服务的 IP 列表。 2) 爆破攻击:利用密码字典爆破 mysql 密码(一般是扫描 root 账号,使用 NMAP, xHydra,Metasploit 等工具爆破) 3) 锁库勒索:利用获取到的 mysql 密码,登录后删除数据库数据勒索。或者直接在数 据库内,将原有数据加密后存入新表中(利用 Mysql 自带的 aes 加密函数) ,然后创建表存 储勒索赎金相关信息。 另一类为入侵后下载运行勒索病毒,主要针对 Windows 系统云主机。攻击过程通常为 4 步: 7 1) 信息收集:批量扫描,获取 IP 列表 2) 爆破攻击:RDP 爆破 3) 登录投毒:登录受害者服务器,横向渗透,或作为跳板对外攻击 4) 加密勒索:失去利用价值后,加密本地文件勒索 同样是勒索攻击,黑灰产业针对云上资产的勒索,其危害远不如针对企业私有网络的攻 击,对受害者造成的实质性威胁也较小。这其中有个非常重要的原因:政企机构将业务上云 之后,较多情况下会部署相对完善的备份、容灾方案。当攻击者发现针对云上主机的勒索攻 击屡屡不能得手的时候,云上勒索攻击便无法成为云上威胁的主流。 尽管如此,腾讯安全团队建议业务上云的政企机构切莫小视勒索威胁,攻击者入侵控制 云上主机,就有利用被控肉鸡系统牟利的各种可能性,任何时候都不可忽视业务容灾备份的 重要性。 3、异常登录行为 异常

pdf文档 腾讯安全 2020年公有云安全报告

文档预览
中文文档 27 页 50 下载 1000 浏览 0 评论 0 收藏 3.0分
温馨提示:本文档共27页,可预览 3 页,如浏览全部内容或当前文档出现乱码,可开通会员下载原始文档
腾讯安全 2020年公有云安全报告 第 1 页 腾讯安全 2020年公有云安全报告 第 2 页 腾讯安全 2020年公有云安全报告 第 3 页
下载文档到电脑,方便使用
本文档由 路人甲 于 2022-09-01 06:34:07上传分享
友情链接
站内资源均来自网友分享或网络收集整理,若无意中侵犯到您的权利,敬请联系我们微信(点击查看客服),我们将及时删除相关资源。