关于网络安全:云上在野容器攻防战杀不掉的挖矿木马

36次阅读

共计 3288 个字符,预计需要花费 9 分钟才能阅读完成。

编者按
数字化浪潮蓬勃衰亡,企业面临的平安挑战亦日益严厉。
腾讯平安近期将复盘 2022 年典型的攻打事件,帮忙企业深刻理解攻打手法和应答措施,欠缺本身平安进攻体系。
本篇是第二期,讲述了国内某高端制造厂商遭逢云上在朝容器攻打,和腾讯平安并肩作战,击退挖矿黑产组织的故事。

9 月 14 日,午后。
阳光透过棕黄色的椴树叶,一缕缕撒在湖面上,泛出了碎金子的光。湖面倒映着一座木质构造的小房子,清清淡淡,融洽地安放在童话般的湖光山色中。
木屋里,X 团伙的暗黑打算正在开展。

X 团伙是近两年极其高调的挖矿家族,坐标 D 国,他们管制着规模宏大的僵尸网络,有着先进且疾速更新的攻打工具库,是目前针对 Linux 服务器进行挖矿的次要攻打组织之一。此时,X 团伙的十几位成员正围坐在一张长桌前,眉开眼笑地探讨着新研发的挖矿木马变种,他们想在圣诞节前疾速“收割”一批门罗币,难受地度过行将到来的漫长且凛冽的夏季。
下午 6 点,X 团伙实现了攻打链路的推演,整个过程近乎完满。随即,一位成员在电脑上按下了 enter 键,扫描器便像洪水般涌入互联网,迅速蔓延至世界各个角落。
一场针对云数据中心的猎杀口头,拉开了尾声。

嫌疑人 X 的现身

X 团伙 2019 年就呈现在公众视线,这个组织的业余程度颇高,攻打策略和工具变幻无穷,攻打威力很大。特地是近几年云原生技术蓬勃衰亡,容器技术和集群编排工具被广泛应用,网络安全边界进一步含糊,X 团伙的攻打流动就更加猖獗了。
此次的挖矿木马变种便是通过扫描 Docker Remote API 未受权拜访破绽进行流传,并且入侵动作更加荫蔽。Docker Remote API 是一个用于近程调用 Docker 的 API,能够让容器的调用更加灵便、简略。若管理员对其配置不当则会导致未受权拜访破绽,攻击者不仅能够植入病毒,甚至可进一步利用 Docker 本身个性,借助容器逃逸,最终管制整个集群。
第二天凌晨 7 点,X 团伙的成员 TOM 醒来,他吸了吸鼻子,空气中凉意浓浓,冬天行将到来,口头须要放慢。他迅速起身,开始为本人做一杯手磨咖啡。这时,他瞥了眼电脑屏幕,不出所料,他们放出的扫描器扫出了大量的破绽。
7 点 30 分,TOM 端着磨好的咖啡坐到电脑前,开始浏览这些待宰的羔羊。一个间隔他 8000 多公里的 IP 吸引了他的留神,他疾速敲了几行代码,获取了这个 IP 所在公司的信息——一家出名的中国高端制造厂商 S 公司。
TOM 嘴角微微上扬,他发现 S 公司的一个 Docker Remote API 并没有配置鉴权,也就是说谁都能够调用,并且这个集群是凋谢公网的。就像羊圈在不起眼之处开了个口子,他能够随便出入。
通过这个 Remote API 破绽,TOM 迅速近程启动了流传病毒的容器镜像 alpineos/docker api,这个镜像十分小,很难被察觉。接着,这个歹意镜像疾速下载了一个挖矿脚本,开始与矿池通信,并利用容器的算力进行挖矿。
从入侵到挖矿,整个过程十分丝滑,TOM 看了眼手表,不到三分钟。

S 公司有上万台云主机,对挖矿组织来说是不可多得的肥羊。如果能逃逸到主机拿下最高权限,就能够利用更大的算力进行挖矿。不仅如此,他还能够以主机为跳板,在内网进行横向扩散,猎取 S 公司的外围秘密数据。
想到这里,TOM 拿起杯子喝了一大口咖啡,打起精神开始下一步的防御。

杀不掉的挖矿木马

“我×,咱们被挖矿了!”
“什么?我看看!”
S 公司的平安运维工程师 Eric 看着电脑屏幕上的 CPU 监测窗口,陡增的折线赫然在眼前。其余几个工程师闻声而来,难以相信眼前这一幕,因为他们之前并没有发现歹意外连和疑似挖矿的过程。

实际上,入侵者 TOM 在植入挖矿病毒后,通过新工具暗藏了挖矿过程,并且将痕迹清理洁净了。S 公司发现的时候,TOM 曾经通过特权模式 +SSH 的逃逸办法,逃逸到宿主机上,并且将挖矿病毒扩散到了容器节点上。
“连忙断网,杀毒!”Eric 迅速把主机断网,而后用杀毒软件将挖矿木马革除。然而,Eric 不敢确定其余节点上是否也被植入了挖矿木马,他的神经紧绷着。
S 公司是国内出名的高端制作企业,也是行业内最早进行数字化转型的企业之一,在前几年就开始摸索云原生技术和业务容器化。尽管国内的容器起步较晚,然而在国内上,容器概念曾经登上了尖端计算技术的最前沿。
通常状况下,运行一台云主机运行起码要 1G 内存,然而对于容器而言,只须要几 M - 几十 M 就能跑起来。所以,容器凭借其灵便易用、适配性强和资源利用率低等劣势,受到越来越多公司的青眼。而 S 公司,也从去年开始逐渐将生产网容器化。
不过,对于很多企业来说,容器是一把双刃剑。一台主机能够拉起成千上万个容器,也意味着边界和裸露面被有限放大。因而,容器在近几年也成为了攻击者的地狱。
第三天,TOM 发现植入 S 公司的挖矿过程少了许多。挖矿木马被发现其实是 TOM 意料之中的事,毕竟 S 公司是头部的高端制作企业,平安建设应该是不错的。不过,S 公司的杀毒行为治标不治本,只有 Docker Remote API 未受权拜访破绽没补上,他们就可能持续拉起挖矿脚本进行挖矿。
TOM 伸了个懒腰,开始了更加剧烈的防御。
很快,S 公司的平安运维团队就发现 CPU 被疾速占用。“他又来了!”Eric 揉了揉眼睛,紧忙开启了主机平安的进攻,并对相应的节点进行查杀,CPU 占用逐步上来了。
这时,Eric 脑海里浮现了此前特斯拉的 Kubernetes 集群被入侵挖矿的事件,他们的共同点就是集群的 Dashboard 处于未受权即可拜访状态,且裸露在互联网上。
“咱们可能跟特斯拉犯了一样的谬误。”

一通电话,迅速驰援

9 月 16 日,早晨 7 点,深南小道华灯初上。
正在食堂吃晚饭的腾讯容器平安专家 ruchang 接到了共事的紧急复电。

“S 公司的节点失陷了,被挖矿了。他们公司间断查杀了好几次,挖矿木马怎么都杀不掉,须要咱们的帮忙!”
ruchang 挂了电话后,迅速吃完盘中的饭菜。“难道是他们?”ruchang 边进电梯边考虑着。
回到工位上,ruchang 迅速通过 S 公司给的运维权限进行问题排查。
首先,他用腾讯容器平安 TCSS 产品对失陷节点上运行的容器镜像进行了破绽扫描。“木马源源不断,必定是出了破绽。”就像一直被偷的羊圈,杀掉偷羊的狼是不够的,得找出羊圈隐秘之处的窟窿。
几分钟后,腾讯容器平安 TCSS 产品扫描结束,电脑屏幕显示某个节点上存在的 Docker Remote API 未受权拜访破绽。
“问题不大,是有一个 Docker Remote API 未受权拜访破绽,你们依照官网的认证措施更改一下配置就好了,改成须要鉴姑且加密。”ruchang 在企业微信群里跟 S 公司的运维人员说到。“还好发现得早,攻击者没有入侵到集群。”
找出破绽之后,ruchang 持续排查,他想找出背地的真凶。他迅速浏览着平安日志和告警信息,尝试回溯整个攻打链路,包含通过哪个服务端口拉进来的镜像,攻击者入侵后进行了哪些横移,以及这个挖矿木马背地的组织是哪个。
“果然是他们!”原来,在 9 月 14 日 X 团伙的新挖矿样本刚收回,腾讯云鼎实验室的哨兵零碎就在第一工夫捕捉,并进行了具体的剖析。这个攻打案件的各种细节和哨兵零碎捕捉的样本一一吻合。
S 公司其实犯了 80% 的公司都会犯的问题——配置谬误。因为容器技术在国内起步较晚,很多公司也都是摸着石头过河。S 公司在测试容器业务时,也没有意识到要对相干的配置平安进行扫描以及合规整改。并且在没有部署容器平安的状况下,就开启了试运行。
对此,腾讯平安也为云上客户推出了容器平安 TCSS 产品,保障容器从镜像生成、存储到运行时的全生命周期平安。在构建和部署阶段,腾讯云容器平安可提供镜像、容器、集群的配置扫描和破绽扫描能力,避免出现相似 S 公司因配置谬误导致的破绽事件。在容器运行时,腾讯云容器平安也可能自适应辨认黑客攻击,实时监控和防护容器运行时平安。
早晨 8 点 10 分,S 公司在企业微信群里反馈破绽已修复,并且洽购了全量的腾讯云容器平安产品。
TOM 也很快发现破绽被封堵住了,他冷笑了一下,”Kind of interesting(有点意思).” 随即 TOM 关掉了 S 公司的挖矿页面,转向了其余的攻打指标。
X 团队的暗黑打算不会进行,咱们与黑产的暗战也不会完结。

正文完
 0