云防火墻通過對云上進出網絡的惡意流量進行實時檢測與阻斷,可以防御挖礦蠕蟲。本文以云上環境為例,從挖礦蠕蟲的防御、檢測和入侵后如何迅速止血三方面來介紹如何結合阿里云云防火墻和云安全中心全方位抵御挖礦蠕蟲。
限制條件
挖礦程序的特征
挖礦程序會占用CPU進行超頻運算,導致CPU嚴重損耗,并且影響服務器上的其他應用。
挖礦程序還具備蠕蟲化特點,當安全邊界被突破時,挖礦病毒會向內網滲透,并在被入侵的服務器上持久化駐留,以獲取最大收益。
挖礦程序具有聯動作用,在清理過程中會存在處理不及時或清理不干凈導致挖礦病毒反復發生、出現惡意腳本替換系統命令的現象,從而導致執行系統命令時觸發惡意腳本執行(例如:xorddos)。因此,需要在挖礦程序的一個執行周期內,盡快將被入侵服務器上的木馬程序和持續化后門清理干凈,否則容易導致挖礦病毒頻繁復發。
挖礦蠕蟲是如何傳播
根據阿里云安全團隊發布的《2018年云上挖礦分析報告》顯示,過去一年中,每一波熱門0 Day漏洞出現都伴隨著挖礦蠕蟲的爆發性傳播。挖礦蠕蟲可能因為占用系統資源導致業務中斷,甚至還有部分挖礦蠕蟲同時會捆綁勒索病毒(如XBash等),給企業帶來資金與數據的損失。
阿里云安全團隊分析發現,云上挖礦蠕蟲主要利用網絡上普遍存在的以下漏洞進行傳播:
通用漏洞利用
過去一年挖礦蠕蟲普遍會利用網絡應用上廣泛存在的通用漏洞(如配置錯誤、弱密碼、SSH、RDP、Telnet爆破等),對互聯網持續掃描和攻擊,以對主機進行感染。
0 Day、N Day漏洞利用
0 Day、N Day在網絡上未被修復的窗口期也會被挖礦蠕蟲利用,迅速進行大規模的感染。
挖礦蠕蟲防御方案
防護階段 | 防護方案 | 相關操作 |
事前階段 | 通過云防火墻的訪問控制功能,設置訪問控制策略,僅放行可信流量。 | 創建出方向訪問控制策略,對可信的外網IP進行放行,而對其他IP訪問全部拒絕。相關內容,請參見訪問控制策略。 |
通過在云防火墻中開啟威脅引擎開關,及時阻斷挖礦行為。 | ||
通過云防火墻的入侵防御功能,有效檢測并攔截攻擊流量。 | ||
通過云安全中心的主動防御功能,自動攔截常見病毒、惡意網絡連接和網站后門連接,抑制云服務器上挖礦事件的發生。 | ||
通過云安全中心的安全告警處理功能,檢測云服務器中是否有運行挖礦程序、礦池通信行為。 | ||
事中階段 | 通過云防火墻的失陷感知功能快速檢出挖礦蠕蟲。 | 在失陷感知頁面,可以定位到列表中具體事件和外聯地址。詳細內容,請參見使用云防火墻檢測挖礦蠕蟲。 |
通過云防火墻入侵防御功能快速止血。 | 開啟云防火墻的基礎防御開關,對惡意文件下載進行阻斷。詳細內容,請參見入侵后如何使用云防火墻快速止血。 | |
通過云防火墻訪問控制策略阻斷挖礦連接。 | 創建出方向訪問控制策略,對可信的外網IP進行放行,將對礦池地址的訪問設置為拒絕。 | |
云防火墻ATT&CK最佳實踐。 | 云防火墻提供的基礎規則、虛擬補丁、威脅情報等功能覆蓋ATT&CK各類風險,建議參考云防火墻基于Att&CK的最佳實踐,對您的網絡安全進行加固。 | |
事后階段 | 使云安全中心對挖礦病毒進行攻擊溯源。 | 如果在7天內,未出現挖礦通信感知及告警,說明挖礦病毒或者木馬清理完畢。關于查詢結果,請參見失陷感知。 |
使用云防火墻防御挖礦蠕蟲
通用漏洞的防御
針對挖礦蠕蟲對SSH、RDP等進行暴力破解的攻擊方式,云防火墻的基礎防御支持常規的暴力破解檢測方式,如通過登錄或試錯頻次閾值計算,對超過試錯閾值的行為進行IP限制,在您的訪問習慣、訪問頻率的基礎上,結合行為模型,保證您正常訪問不被攔截的同時對異常登錄進行限制。
針對通用的漏洞利用方式(如利用Redis寫Crontab執行命令、數據庫UDF進行命令執行等),云防火墻的基礎防御基于阿里云的大數據優勢,利用阿里云安全在云上攻防對抗中積累大量惡意攻擊樣本,形成精準防御規則。
您可通過開啟云防火墻的基礎防御來防御通用漏洞。具體操作如下:
登錄云防火墻控制臺。
在左側導航欄,選擇。
在IPS配置頁面,定位到威脅情報區域,開啟威脅引擎運行模式開關。
在高級設置區域,開啟基礎規則開關。
在左側導航欄,選擇,在入侵防御頁面的詳細數據列表中查看詳細的攔截日志。
0 Day、N Day漏洞防御
熱門0 Day、N Day漏洞修復不及時,被挖礦蠕蟲利用感染的風險較大。云防火墻利用全網部署的蜜罐分析異常攻擊流量或利用阿里云先知平臺獲取漏洞情報,可及時發現針對0 Day、N Day的漏洞,獲取漏洞PoC或Exp,并落地形成虛擬補丁,在與黑客的攻防對抗中占得時間先機。
您可通過開啟云防火墻的虛擬補丁來防御0 Day、N Day漏洞。具體操作如下:
登錄云防火墻控制臺。
在左側導航欄,選擇。
在高級設置區域,開啟虛擬補丁開關,然后單擊確定。
單擊開啟補丁右下方的自定義選擇,查看或管理虛擬補丁。
使用云防火墻檢測挖礦蠕蟲
在與蠕蟲攻防對抗中,即使在公網邊界做好入侵防御措施,仍有可能感染挖礦蠕蟲。例如挖礦蠕蟲可以通過VPN直接由開發機傳播到生產網;用于運維的系統鏡像、Docker鏡像已經被植入挖礦病毒,從而導致大規模感染爆發。
云防火墻通過NTA(Network Traffic Analysis)能力提供失陷感知功能,能夠及時并有效發現挖礦蠕蟲感染事件。利用云上強大的威脅情報網,云防火墻可以及時發現常見貨幣的礦池地址、檢測挖礦木馬下載行為和常見礦池通信協議,實時識別主機挖礦行為,并及時告警。
您可通過開啟云防火墻失陷感知功能的一鍵防御來檢測挖礦蠕蟲,并在網絡端阻斷挖礦木馬與礦池通信。開啟云防火墻入侵檢測一鍵防御步驟如下:
登錄云防火墻控制臺。
在左側導航欄,選擇。
在失陷感知頁面,定位到列表中具體事件,單擊操作列詳情。
您可以在事件詳情面板,查看該挖礦程序的外聯地址。
登錄檢測到挖礦程序的服務器,定位到挖礦進程并進行快速清理。
入侵后如何使用云防火墻快速止血
如果服務器已感染挖礦蠕蟲,云防火墻可以從惡意文件下載阻斷、中控通信攔截、重點業務區加強訪問控制三方面控制蠕蟲進一步傳播、減少業務和數據的損失。
惡意文件下載阻斷
服務器在感染挖礦蠕蟲后通常會進行惡意文件下載。云防火墻基礎防御功能集成惡意文件檢測能力,實時更新常見挖礦蠕蟲的各類惡意文件唯一性特征碼和文件模糊hash,在挖礦蠕蟲入侵成功、進一步下載更新的攻擊載荷時,會對下載至服務器的文件在流量中進行文件還原及特征匹配等安全檢測,在檢測到嘗試下載惡意文件時進行告警并攔截。
您可以在IPS配置頁面,開啟基礎防御開關,對惡意文件下載進行攔截。
中控通信攔截
在感染挖礦蠕蟲后,針對挖礦蠕蟲可能和C&C控制端進行通信,接收進一步的惡意行為指令或者向外泄露敏感數據等,云防火墻的基礎防御功能通過以下方面對該行為進行實時攔截:
通過分析和監控全網蠕蟲數據和中控服務器通訊流量,可以對異常通訊流量特征化,落地形成中控通信檢測特征,通過實時監控中控通信變化,不斷地提取攻擊特征,確保及時檢測到攻擊行為。
通過自動學習歷史流量訪問信息,建立異常流量檢測模型,挖掘潛在的未知挖礦蠕蟲信息。
利用大數據可視化技術對全網IP訪問行為關系進行畫像,利用機器學習發現異常IP及訪問域,并聯動全網攻擊數據,最終落地形成中控威脅情報庫,從而可以對服務器流量通信進行情報匹配,實時攔截惡意的中控連接通信。
您可以開啟云防火墻的,對中控通信進行攔截。
為重點業務區開啟強訪問控制
重點業務通常需要對整個互聯網開放服務或端口,而來自互聯網的掃描、攻擊會對企業的資產形成威脅,對外部的訪問控制很難做到細粒度管控。而對某一臺ECS、某一個EIP或內部網絡主動外聯場景下,域名或IP數量其實都是可控的,因為該類外聯通常都是進行合法的外聯訪問。因此通過出方向的域名或IP訪問控制,可有效防止ECS主機被入侵之后,利用惡意域名植入挖礦木馬或木馬與C&C進行通信等行為。
云防火墻支持對訪問來源域名(含泛域名)、IP地址設置訪問控制規則。針對重點業務的安全問題,可以通過配置一個強粒度的內到外訪問控制策略,即重要業務端口只允許特定域名或者特定的IP進行訪問,其他一律禁止。通過該操作可以有效地杜絕挖礦蠕蟲下載、對外傳播,防止入侵后階段的維持與獲利。
例如內網對外訪問的總IP數為6個,其中NTP全部標識為阿里云產品,而DNS為我們所熟知的8.8.8.8,通過云防火墻的安全建議,我們可以將上述6個IP進行放行,而對其他IP訪問進行全部拒絕。通過如上的配置,在不影響正常業務訪問的情況下,防止其他對外連接行為,如惡意下載、C&C通信等。
您可以在云防火墻的頁面的出向頁簽,創建出方向訪問控制策略,對可信的外網IP進行放行,而對其他IP訪問全部拒絕。
由于互聯網上持續存在的通用應用漏洞、0 Day漏洞的頻發,以及挖礦變現的高效率,挖礦蠕蟲大規模蔓延。云上客戶可以透明接入云防火墻,保護自身應用不受互聯網上各種惡意攻擊的威脅。同時依托云上海量的計算能力,能夠更快地感知最新的攻擊威脅、并且聯動全網的威脅情報,使用戶免于挖礦蠕蟲威脅。云防火墻可以伴隨業務水平彈性擴容,讓您更多地關注業務的擴展,無需花費更多精力投入在安全上。