雲端基礎架構之進階持續性攻擊日漸增加

• 發布日期：108-12-09
• 發布單位：刑事警察大隊

安全公司Securonix指出，Hadoop/YARN等雲端基礎架構面臨的威脅，已從單純的挖礦衍生出多功能、多平台、具持續性攻擊的進階威脅。Securonix近日分析針對雲端基礎架構軟體、包括Hadoop/YARN在內的惡意攻擊，發現雖然有些惡意軟體只發動單一平台、單一向量的攻擊，用意只是單純的挖礦，但有越來越多攻擊則是多平台、多向量的威脅，兼具挖礦程式、勒索軟體、殭屍網路、蠕蟲功能，而且攻擊多個平台，包括Linux和Windows。
針對雲端基礎架構的攻擊中，大部份威脅是藉由安裝第二階段的攻擊程式達成挖礦和遠端存取的目的。少部份則會繁殖增生、感染入侵的服務、移除資料，再安裝二階段的挖礦程式和勒索軟體。研究人員發現，針對雲端基礎架構軟體的攻擊有許多共通之處，例如具備多種滲透管道，像是Hadoop未驗證指令執行、Redis遠端指令執行到ActiveMQ。有些殭屍網路有多個不同的C&C伺服器，而且hop point持續變換而捉摸不定，有的還將C&C伺服器寄生在pastebin網頁。此外，這些惡意程式為了能進行持續性攻擊也發展出一些技倆，像是在Linux平台植入檔案中建立定時任務(cronjob)，如果在Windows上則建立惡意啟動程式以便從C2伺服器上下載其他惡意程式。
在這些攻擊程式中，又以XBash具備更進階的攻擊能力。它去年5月開始在網路上活動，具備殭屍網路、蠕蟲、勒索軟體及挖礦程式性質。XBash根據C&C伺服器指定的網域和IP位址掃瞄受害系統的多個服務傳輸埠(HTTP、RDP、FTP、Telnet、SNMP、UPnP)。在入侵系統時，有時是利用Hadoop YARN Resource Manager、Redis和ActiveMQ的漏洞，有時則直接暴力破解密碼。最可怕的是，XBash並不只感染Hadoop，也會攻擊MySQL、MongoDB、PostgretSQL、MariaDB、Oracle Database。它同時鎖定Windows和Linux系統，如果它判斷感染的系統是在Windows上，便立即建立啟動元件以便之後下載script或執行檔進行加密綁架。但它的目的是在破壞資料，感染受害資料庫後不會加密，反而是將資料刪光，而且無法回復資料。
Securonix建議企業組織及個人都應重視雲端架構之安全防護，持續檢查雲端基礎架構服務在網際網路上的曝光率，包括Hadoop / YARN，Redis和ActiveMQ，並儘可能限制存取以減少潛在的攻擊面。另外，考慮在保護模式下執行Redis，並為所有服務實行強健密碼政策，以防止駭客暴力破解。
資料來源參考：
http://www.securonix.com/securonix-threat-research-detecting-persistent-cloud-infrastructure-hadoop-yarn-attacks-using-security-analytics-moanacroner-xbash-and-others/
https://www.ithome.com.tw/news/128486
完整報告請參閱：
https://www.securonix.com/web/wp-content/uploads/2019/01/Securonix_Threat_Research_Moanacroner_XBash.pdf
參考網站：
https://www.nccst.nat.gov.tw/NewsRSSDetail?lang=zh&RSSType=news&seq=16206