威胁行为者滥用阿里云服务

趋势科技的安全研究人员报告了对阿里巴巴云计算服务 Aliyun 的观察到的攻击。

据趋势科技称，黑客一直在篡改和禁用这家中国电子商务巨头的单独实例，滥用受感染的系统进行非法加密挖掘。

攻击中使用的自定义恶意软件篡改了负责保持阿里巴巴弹性计算服务健康和安全的安全软件。该恶意软件使用自定义代码在目标系统上注入新的防火墙规则，然后重新配置服务器的 IP 表以完全丢弃源自"阿里巴巴内部区域和区域"的数据包。

在一些被检查的恶意软件样本中，云安全软件试图识别正在执行的恶意脚本，但由于篡改，它无法做到这一点，而是被关闭。在另一个示例中，恶意软件甚至在检测到不良脚本并发送警报之前就触发了安全代理的卸载。

更糟糕的是，阿里巴巴弹性云计算实例的默认配置允许root访问。趋势科技解释说，其他云服务提供商通常不允许用户在其默认设置中使用直接 SSH 登录。使用阿里巴巴的云，所有用户都可以在虚拟机中为 root 访问用户提供密码。

这本质上意味着，对于其他云系统，即使他们已经拥有登录凭据，坏人也需要更加努力地工作才能获得提升的权限，但阿里巴巴的云实例并非如此。

阿里巴巴的云服务还包括根据需求自动扩展的选项。这意味着威胁参与者可以简单地将他们的加密挖掘恶意软件推到极限，并从云中自动分配大量资源。当然，这也将导致受损桶的合法用户累积大量账单，因为开销资源虽然可用，但成本超过某个阈值。

在这种情况下，趋势科技提供的建议的要点是，任何租用云计算服务的人都应该花时间让他们的团队熟悉所用系统的细节及其默认实现，然后花时间以某种方式对其进行配置尽可能安全。