위협 행위자 남용 Alibaba Cloud Services

Trend Micro의 보안 연구원은 Aliyun으로 알려진 Alibaba의 클라우드 컴퓨팅 서비스에 대한 관찰된 공격을 보고했습니다.

Trend Micro에 따르면 해커들은 불법 암호화폐 채굴을 위해 손상된 시스템을 악용하면서 중국 전자 상거래 거대 기업의 개별 인스턴스를 조작하고 비활성화하고 있습니다.

공격에 사용된 맞춤형 멀웨어는 Alibaba의 탄력적 컴퓨팅 서비스를 건강하고 안전하게 유지하는 보안 소프트웨어를 변조합니다. 악성코드는 맞춤형 코드를 사용하여 대상 시스템에 새로운 방화벽 규칙을 삽입한 다음 "내부 Alibaba 영역 및 지역"에서 발생하는 패킷을 완전히 삭제하도록 서버의 IP 테이블을 재구성합니다.

검사한 일부 악성 코드 샘플에서 클라우드 보안 소프트웨어는 실행 중인 악성 스크립트를 식별하려고 시도하지만 변조의 결과로 실패하고 대신 종료됩니다. 다른 샘플에서는 악성 스크립트가 악성 스크립트를 감지하고 경고를 보내기도 전에 단순히 보안 에이전트 제거를 트리거했습니다.

설상가상으로 Alibaba 탄력적 클라우드 컴퓨팅 인스턴스의 기본 구성은 루트 액세스를 허용합니다. Trend Micro는 다른 클라우드 서비스 제공업체는 일반적으로 사용자가 기본 설정에서 직접 SSH 로그인을 사용하는 것을 허용하지 않는다고 설명합니다. Alibaba의 클라우드를 사용하면 모든 사용자가 가상 머신 내의 루트 액세스 사용자에게 암호를 제공할 수 있습니다.

이것은 본질적으로 다른 클라우드 시스템에서 나쁜 행위자가 이미 로그인 자격 증명을 가지고 있더라도 높은 권한을 얻기 위해 훨씬 더 열심히 일해야 한다는 것을 의미하지만 Alibaba의 클라우드 인스턴스에서는 그렇지 않습니다.

Alibaba의 클라우드 서비스에는 수요에 따른 자동 확장 옵션도 포함되어 있습니다. 이는 위협 행위자가 단순히 암호화폐 채굴 악성코드를 한계까지 밀어붙이고 자동으로 할당된 클라우드에서 상당한 리소스를 끌어들일 수 있음을 의미합니다. 물론 오버헤드 리소스를 사용할 수 있지만 특정 임계값을 초과하면 비용이 많이 들기 때문에 이로 인해 손상된 버킷의 합법적인 사용자에 대한 막대한 비용이 누적됩니다.

이 경우 Trend Micro에서 제공하는 조언의 요지는 클라우드 컴퓨팅 서비스를 임대하는 사람은 시간을 내어 사용하는 시스템의 세부 사항과 기본 구현을 팀에 익히고 다음과 같은 방식으로 구성해야 한다는 것입니다. 최대한 안전합니다.