威脅行為者濫用阿里雲服務

趨勢科技的安全研究人員報告了對阿里巴巴雲計算服務 Aliyun 的觀察到的攻擊。

據趨勢科技稱，黑客一直在篡改和禁用這家中國電子商務巨頭的單獨實例，濫用受感染的系統進行非法加密挖掘。

攻擊中使用的自定義惡意軟件篡改了負責保持阿里巴巴彈性計算服務健康和安全的安全軟件。該惡意軟件使用自定義代碼在目標系統上註入新的防火牆規則，然後重新配置服務器的 IP 表以完全丟棄源自"阿里巴巴內部區域和區域"的數據包。

在一些被檢查的惡意軟件樣本中，雲安全軟件試圖識別正在執行的惡意腳本，但由於篡改，它無法做到這一點，而是被關閉。在另一個示例中，惡意軟件甚至在檢測到不良腳本並發送警報之前就觸發了安全代理的卸載。

更糟糕的是，阿里巴巴彈性雲計算實例的默認配置允許root訪問。趨勢科技解釋說，其他雲服務提供商通常不允許用戶在其默認設置中使用直接 SSH 登錄。使用阿里巴巴的雲，所有用戶都可以在虛擬機中為 root 訪問用戶提供密碼。

這本質上意味著，對於其他雲系統，即使他們已經擁有登錄憑據，壞人也需要更加努力地工作才能獲得提升的權限，但阿里巴巴的雲實例並非如此。

阿里巴巴的雲服務還包括根據需求自動擴展的選項。這意味著攻擊者可以簡單地將他們的加密挖掘惡意軟件推到極限，並從雲中自動分配大量資源。當然，這也將導致受損存儲桶的合法用戶累積大量賬單，因為開銷資源雖然可用，但成本超過某個閾值。

在這種情況下，趨勢科技提供的建議的要點是，任何租用雲計算服務的人都應該花時間讓他們的團隊熟悉所用系統的細節及其默認實現，然後花時間以某種方式對其進行配置盡可能安全。