往许多挖矿攻击锁定个人计算机下手,但近年来也有黑客看上云计算的计算资源,将其中的Linux服务器作为攻击目标,并且把范围瞄准中国的大型公有云。在1月28日,安全企业Palo Alto Networks披露新的攻击行动,黑客针对阿里云和腾讯云上,存在特定漏洞的Apache AcitveMQ(CVE-2016-3088)、Orcale WebLogic(CVE-2017-10271),或是未妥善配置的Redis实体下手,植入XMRig挖矿程序来获得门罗币(Monero)。
在此次攻击行动的披露中,Palo Alto提供了入侵指标(IOC)给企业参考,并认为公有云企业的防护方案,难以对付这种针对云计算实体的攻击行动,不过,他们没有提出具体的应对措施,也没有提及受害规模。
发起这个攻击行动的黑客组织,是中国黑客组织Rocke,这个组织在2018年8月被思科披露,专门锁定云计算Linux服务器为目标,借此挖矿谋利,其攻击泛滥的情况,甚至一度传出有其他组织跟他们抢地盘。而如今,Rocke采用的恶意程序手法更为复杂,不仅采用特殊的机制来规避侦测,同时具备横向感染的能力,Palo Alto将其命名为Pro-Ocean。
而值得留意的是,这个组织本次的攻击手法,用了许多方法来避免被侦测。首先,Pro-Ocean会移除两家公有云企业的监控代理程序,来避免攻击行动被发现。不过,照理来说,一旦这些代理程序被移除,公有云企业很可能就要发现有异,并且通知用户要留意,但在此起攻击里,两家企业很可能都没有发现代理程序遭到移除的情况。不过,这种做法Pro-Ocean并非首例,在去年11月出现的Gitpaste-12恶意程序,就会关闭阿里云和腾讯云的云计算安全机制。
再者,为了不被防护系统发现是恶意软件,黑客利用了常见的打包工具UPX,重新包装Pro-Ocean的可执行文件,却抹除文件里被包装的痕迹,干扰防护机制检查其中内容。而在执行的过程中,该组织则是本地取材(LoL),运用Linux操作系统内置的工具LD_PRELOAD,来强制预装Pro-Ocean的处理程序,同时以Libprocesshider来隐藏行踪。这些较为复杂的匿踪手法,以往在这种云计算挖矿攻击中可说是相当罕见。
附带一提,如果该实体已有其他的挖矿软件或恶意程序,像是Luokk、BillGates、XMRig,以及Hashfish等,Pro-Ocean也会清除其处理程序,以便能够运用接近100%的处理器性能来挖矿。
而黑客为了让能多的云计算实体能够加入挖矿的行列,Pro-Ocean也具备横向感染的能力,并且滥用Apache ActiveMQ与Oracle WebLogic的已知漏洞,或是针对未采取安全配置的Redis实体下手。但这3种应用程序都属不同领域,而且Palo Alto指出,由于恶意软件是在感染过程才下载到受害实体,因此他们认为,黑客日后还会滥用其他应用程序的弱点,来扩大Pro-Ocean的感染范围。
