编者按
数字化浪潮蓬勃衰亡,企业面临的平安挑战亦日益严厉。
腾讯平安近期将复盘2022年典型的攻打事件,帮忙企业深刻理解攻打手法和应答措施,欠缺本身平安进攻体系。
本篇是第二期,讲述了国内某高端制造厂商遭逢云上在朝容器攻打,和腾讯平安并肩作战,击退挖矿黑产组织的故事。
9月14日,午后。
阳光透过棕黄色的椴树叶,一缕缕撒在湖面上,泛出了碎金子的光。湖面倒映着一座木质构造的小房子,清清淡淡,融洽地安放在童话般的湖光山色中。
木屋里,X团伙的暗黑打算正在开展。
X团伙是近两年极其高调的挖矿家族,坐标D国,他们管制着规模宏大的僵尸网络,有着先进且疾速更新的攻打工具库,是目前针对Linux服务器进行挖矿的次要攻打组织之一。此时,X团伙的十几位成员正围坐在一张长桌前,眉开眼笑地探讨着新研发的挖矿木马变种,他们想在圣诞节前疾速“收割”一批门罗币,难受地度过行将到来的漫长且凛冽的夏季。
下午6点,X团伙实现了攻打链路的推演,整个过程近乎完满。随即,一位成员在电脑上按下了enter键,扫描器便像洪水般涌入互联网,迅速蔓延至世界各个角落。
一场针对云数据中心的猎杀口头,拉开了尾声。
嫌疑人X的现身
X团伙2019年就呈现在公众视线,这个组织的业余程度颇高,攻打策略和工具变幻无穷,攻打威力很大。特地是近几年云原生技术蓬勃衰亡,容器技术和集群编排工具被广泛应用,网络安全边界进一步含糊,X团伙的攻打流动就更加猖獗了。
此次的挖矿木马变种便是通过扫描Docker Remote API未受权拜访破绽进行流传,并且入侵动作更加荫蔽。Docker Remote API是一个用于近程调用Docker的API,能够让容器的调用更加灵便、简略。若管理员对其配置不当则会导致未受权拜访破绽,攻击者不仅能够植入病毒,甚至可进一步利用Docker本身个性,借助容器逃逸,最终管制整个集群。
第二天凌晨7点,X团伙的成员TOM醒来,他吸了吸鼻子,空气中凉意浓浓,冬天行将到来,口头须要放慢。他迅速起身,开始为本人做一杯手磨咖啡。这时,他瞥了眼电脑屏幕,不出所料,他们放出的扫描器扫出了大量的破绽。
7点30分,TOM端着磨好的咖啡坐到电脑前,开始浏览这些待宰的羔羊。一个间隔他8000多公里的IP吸引了他的留神,他疾速敲了几行代码,获取了这个IP所在公司的信息——一家出名的中国高端制造厂商S公司。
TOM嘴角微微上扬,他发现S公司的一个Docker Remote API并没有配置鉴权,也就是说谁都能够调用,并且这个集群是凋谢公网的。就像羊圈在不起眼之处开了个口子,他能够随便出入。
通过这个Remote API破绽,TOM迅速近程启动了流传病毒的容器镜像alpineos/docker api,这个镜像十分小,很难被察觉。接着,这个歹意镜像疾速下载了一个挖矿脚本,开始与矿池通信,并利用容器的算力进行挖矿。
从入侵到挖矿,整个过程十分丝滑,TOM看了眼手表,不到三分钟。
S公司有上万台云主机,对挖矿组织来说是不可多得的肥羊。如果能逃逸到主机拿下最高权限,就能够利用更大的算力进行挖矿。不仅如此,他还能够以主机为跳板,在内网进行横向扩散,猎取S公司的外围秘密数据。
想到这里,TOM拿起杯子喝了一大口咖啡,打起精神开始下一步的防御。
杀不掉的挖矿木马
“我×,咱们被挖矿了!”
“什么?我看看!"
S公司的平安运维工程师Eric看着电脑屏幕上的CPU监测窗口,陡增的折线赫然在眼前。其余几个工程师闻声而来,难以相信眼前这一幕,因为他们之前并没有发现歹意外连和疑似挖矿的过程。
实际上,入侵者TOM在植入挖矿病毒后,通过新工具暗藏了挖矿过程,并且将痕迹清理洁净了。S公司发现的时候,TOM曾经通过特权模式+SSH的逃逸办法,逃逸到宿主机上,并且将挖矿病毒扩散到了容器节点上。
“连忙断网,杀毒!”Eric迅速把主机断网,而后用杀毒软件将挖矿木马革除。然而,Eric不敢确定其余节点上是否也被植入了挖矿木马,他的神经紧绷着。
S公司是国内出名的高端制作企业,也是行业内最早进行数字化转型的企业之一,在前几年就开始摸索云原生技术和业务容器化。尽管国内的容器起步较晚,然而在国内上,容器概念曾经登上了尖端计算技术的最前沿。
通常状况下,运行一台云主机运行起码要1G内存,然而对于容器而言,只须要几M-几十M就能跑起来。所以,容器凭借其灵便易用、适配性强和资源利用率低等劣势,受到越来越多公司的青眼。而S公司,也从去年开始逐渐将生产网容器化。
不过,对于很多企业来说,容器是一把双刃剑。一台主机能够拉起成千上万个容器,也意味着边界和裸露面被有限放大。因而,容器在近几年也成为了攻击者的地狱。
第三天,TOM发现植入S公司的挖矿过程少了许多。挖矿木马被发现其实是TOM意料之中的事,毕竟S公司是头部的高端制作企业,平安建设应该是不错的。不过,S公司的杀毒行为治标不治本,只有Docker Remote API未受权拜访破绽没补上,他们就可能持续拉起挖矿脚本进行挖矿。
TOM伸了个懒腰,开始了更加剧烈的防御。
很快,S公司的平安运维团队就发现CPU被疾速占用。“他又来了!”Eric揉了揉眼睛,紧忙开启了主机平安的进攻,并对相应的节点进行查杀,CPU占用逐步上来了。
这时,Eric脑海里浮现了此前特斯拉的Kubernetes集群被入侵挖矿的事件,他们的共同点就是集群的Dashboard 处于未受权即可拜访状态,且裸露在互联网上。
“咱们可能跟特斯拉犯了一样的谬误。”
一通电话,迅速驰援
9月16日,早晨7点,深南小道华灯初上。
正在食堂吃晚饭的腾讯容器平安专家ruchang接到了共事的紧急复电。
“S公司的节点失陷了,被挖矿了。他们公司间断查杀了好几次,挖矿木马怎么都杀不掉,须要咱们的帮忙!”
ruchang挂了电话后,迅速吃完盘中的饭菜。“难道是他们?”ruchang边进电梯边考虑着。
回到工位上,ruchang迅速通过S公司给的运维权限进行问题排查。
首先,他用腾讯容器平安TCSS产品对失陷节点上运行的容器镜像进行了破绽扫描。“木马源源不断,必定是出了破绽。”就像一直被偷的羊圈,杀掉偷羊的狼是不够的,得找出羊圈隐秘之处的窟窿。
几分钟后,腾讯容器平安TCSS产品扫描结束,电脑屏幕显示某个节点上存在的Docker Remote API未受权拜访破绽。
“问题不大,是有一个Docker Remote API未受权拜访破绽,你们依照官网的认证措施更改一下配置就好了,改成须要鉴姑且加密。”ruchang在企业微信群里跟S公司的运维人员说到。“还好发现得早,攻击者没有入侵到集群。”
找出破绽之后,ruchang持续排查,他想找出背地的真凶。他迅速浏览着平安日志和告警信息,尝试回溯整个攻打链路,包含通过哪个服务端口拉进来的镜像,攻击者入侵后进行了哪些横移,以及这个挖矿木马背地的组织是哪个。
“果然是他们!”原来,在9月14日X团伙的新挖矿样本刚收回,腾讯云鼎实验室的哨兵零碎就在第一工夫捕捉,并进行了具体的剖析。这个攻打案件的各种细节和哨兵零碎捕捉的样本一一吻合。
S公司其实犯了80%的公司都会犯的问题——配置谬误。因为容器技术在国内起步较晚,很多公司也都是摸着石头过河。S公司在测试容器业务时,也没有意识到要对相干的配置平安进行扫描以及合规整改。并且在没有部署容器平安的状况下,就开启了试运行。
对此,腾讯平安也为云上客户推出了容器平安TCSS产品,保障容器从镜像生成、存储到运行时的全生命周期平安。在构建和部署阶段,腾讯云容器平安可提供镜像、容器、集群的配置扫描和破绽扫描能力,避免出现相似S公司因配置谬误导致的破绽事件。在容器运行时,腾讯云容器平安也可能自适应辨认黑客攻击,实时监控和防护容器运行时平安。
早晨8点10分,S公司在企业微信群里反馈破绽已修复,并且洽购了全量的腾讯云容器平安产品。
TOM也很快发现破绽被封堵住了,他冷笑了一下,"Kind of interesting(有点意思)." 随即TOM关掉了S公司的挖矿页面,转向了其余的攻打指标。
X团队的暗黑打算不会进行,咱们与黑产的暗战也不会完结。