Экземпляры Alibaba ECS активно взламываются вредоносными программами, добывающими криптовалюту

13
Задержаны админы Telegram-канала, продававшие поддельные карты с вакцинами

Злоумышленники захватывают экземпляры Alibaba Elastic Computing Service (ECS) для установки вредоносного ПО криптомайнера и использования доступных ресурсов сервера для собственной выгоды.

Alibaba — китайский технологический гигант с присутствием на мировом рынке, облачные сервисы которого используются в основном в Юго-Восточной Азии.

В частности, сервис ECS позиционируется как предлагающий быструю память, процессоры Intel и многообещающие операции с малой задержкой. Более того, для защиты от вредоносных программ, таких как криптомайнеры, ECS поставляется с предустановленным агентом безопасности.

Хакеры удаляют агент безопасности ECS, чтобы установить майнеры

Согласно отчету Trend Micro, одной из проблем с Alibaba ECS является отсутствие различных уровней привилегий, настроенных на инстансе, при этом все инстансы по умолчанию предлагают root-доступ.

Это позволяет злоумышленникам, которые получают доступ к учетным данным для входа, получить доступ к целевому серверу через SSH как root без какой-либо подготовительной работы (повышения привилегий).

«Злоумышленник имеет наивысшие возможные привилегии при компрометации, включая использование уязвимостей, любые проблемы с неправильной конфигурацией, слабые учетные данные или утечку данных», — поясняется в отчете Trend Micro.

Кроме того, эти повышенные привилегии позволяют злоумышленникам создавать правила брандмауэра, которые отбрасывают входящие пакеты из диапазонов IP-адресов, принадлежащих внутренним серверам Alibaba, чтобы предотвратить обнаружение установленным агентом безопасности подозрительного поведения.

Затем злоумышленники могут запускать сценарии, останавливающие агент безопасности на взломанном устройстве.

Учитывая, насколько легко внедрить руткиты модуля ядра и вредоносное ПО для криптоджекинга из-за повышенных привилегий, неудивительно, что несколько злоумышленников конкурируют за захват экземпляров Alibaba Cloud ECS.

Компания Trend Micro также наблюдала сценарии, которые ищут процессы, выполняемые на определенных портах, обычно используемых вредоносными программами и бэкдорами, и завершают связанные процессы для удаления конкурирующих вредоносных программ.

Другая функция ECS, используемая участниками, — это система автоматического масштабирования, которая позволяет службе автоматически настраивать вычислительные ресурсы в зависимости от объема пользовательских запросов.

Это сделано для предотвращения перебоев в обслуживании и сбоев из-за внезапной нагрузки трафика, но это возможность для криптоджекеров.

Злоупотребляя этим, когда он активен на целевой учетной записи, участники могут увеличить мощность майнинга Monero и понести дополнительные расходы для владельца экземпляра.

Учитывая, что в лучшем случае циклы выставления счетов ежемесячные, жертве потребуется некоторое время, чтобы осознать проблему и принять меры.

Когда автоматическое масштабирование недоступно, майнинг вызовет более немедленный и заметный эффект замедления, поскольку майнеры используют доступную мощность процессора.

Все облачные сервисы должны быть проверены

Alibaba ECS — это еще один пример облачного сервиса, на который нацелены криптомайнеры, с другими заметными недавними кампаниями, нацеленными на Docker и Huawei Cloud .

Компания Trend Micro уведомила Alibaba о своих выводах, но пока не получила ответа.

Если вы используете облачный сервис Alibaba, убедитесь, что ваши настройки безопасности верны, и следуйте лучшим практикам.

Более того, избегайте запуска приложений с правами суперпользователя, используйте криптографические ключи для доступа и следуйте принципу наименьших привилегий.

В случае ECS встроенной защиты от вредоносных программ недостаточно, поэтому добавление второго уровня обнаружения вредоносных программ и уязвимостей в облачной среде должно быть частью вашей стандартной практики безопасности.

Предыдущая статьяВ октябре аудитория Twitch увеличилась на 19% по сравнению с аналогичным периодом прошлого года
Следующая статьяВредоносное ПО Emotet возвращается и восстанавливает свой ботнет с помощью TrickBot

ОСТАВЬТЕ ОТВЕТ

Please enter your comment!
Please enter your name here