产品中心
产品中心
基础安全
T-Sec 主机安全
容器安全服务 TCSS
T-Sec Web应用防火墙
T-Sec 云防火墙
T-Sec 安全运营中心
T-Sec iOA零信任安全管理系统
业务安全
T-Sec 天御 验证码
T-Sec 天御 文本内容安全
T-Sec 天御 视频内容安全
T-Sec 全栈式风控引擎
T-Sec 手游安全
T-Sec 小程序安全
T-Sec 应用合规平台
数据安全
T-Sec 堡垒机
T-Sec 数据安全审计
T-Sec 云访问安全代理
T-Sec 凭据管理系统
T-Sec 密钥管理系统
T-Sec 云加密机
T-Sec 数据安全治理中心
安全服务
T-Sec 安全专家服务
一站式等保服务
T-Sec 安全托管服务
渗透测试服务
应急响应服务
重要时期安全保障服务
安全攻防对抗服务
了解全部安全产品→解决方案
解决方案
通用解决方案
等保合规安全解决方案
直播安全解决方案
数据安全解决方案
品牌保护解决方案
高防云主机安全解决方案
腾讯安心平台解决方案
行业场景方案
游戏安全场景方案
电商安全场景方案
智慧零售场景方案
智慧出行场景方案
安全专项解决方案
勒索病毒专项解决方案
重大保障安全解决方案
- NEW最新动态
更多
更多
关于我们
腾讯安全介绍
荣誉认证
帮助中心
帮助文档
考试认证
在线课堂
证书查询
联系我们
产品方案咨询
寻求市场合作
友情链接
腾讯云
- 登录可以享受
- 精准服务推荐
- 线上快捷下单
- 海量资源流量
- 立即登录
游戏行业云上风险安全报告
2020-11-12 07:05:11
一、报告背景
产业互联网时代,云计算IT架构以更简单的架构设计、更高的性价比、更灵活的系统颠覆了传统IT基础架构,但随着算力、IT架构、攻防节奏、以及数据资产的不断变化,也为云上安全提出了新的挑战。
产业互联网时代,得益于数字化、移动化浪潮,游戏产业发展迅速,游戏市场在黑天鹅事件下同样保持繁荣。然而,蓬勃发展的游戏市场背后,却暗藏着诸多游戏安全问题,外挂、代练、盗号、色情信息等游戏安全问题层出不穷,侵害了游戏玩家和厂商的利益。
在新游戏上线时,面对汹涌而至的内测、公测玩家,系统遭遇巨大挑战。游戏厂商的自研开发、运营平台,也推动了云业务的快速迭代。从小工作室到IDC机房建设,再到云平台,游戏厂商引领着互联网技术的高速普及。但游戏安全问题始终威胁着各大游戏厂商,加上复杂多变的海外地域政策,严重影响到了网络游戏产业的发展。这意味着,游戏厂商不仅需要把游戏做好,更需要提前部署安全风险对抗策略,才能延长游戏生命周期。
随着业务上云的兴起,安全攻防的主战场也转而上云。在腾讯全球数字生态大会上,腾讯副总裁丁珂指出,“云已经成为安全攻防的主战场,而上云是应对数字时代安全问题的最优解”。云原生安全具备开箱即用、弹性、自适应、全生命周期防护等显著优势让企业在应对安全挑战时更加从容。
二、云上安全风险
1、恶意木马感染情况
云上恶意木马事件在2020年下半年有显著上升
图1
从恶意木马检出情况看,有近10%的游戏厂商在一个月内检测到木马攻击。
图2
从检出的恶意木马统计可以发现,所中木马的类型前三位为下载者木马、Webshell和感染型木马。下载者木马主要为各病毒木马的母体,在机器上执行后,会进一步下载释放其他恶意文件执行。Webshell是一种网页后门,黑客攻击后可通过后门持续进行入侵。
图3
根据腾讯T-Sec主机安全(云镜)的检测统计,在发现的云上恶意木马中,有99.7%的恶意木马检测结果管理员未能及时给予关注,这反映出云主机的安全管理意识尚存在不足,需要更加重视及时处置恶意木马告警。个别企业云上主机被植入挖矿木马的案例涉嫌内部人员利用管理权限操作,这给企业安全管理敲响了警钟。
恶意木马危害及典型案例
网络黑产一直视游戏厂商工作内网、云上主机为巨大宝藏,会利用各种可能的手段(欺诈邮件、供应链攻击、恶意下载、漏洞攻击、爆破弱口令等)尝试入侵和感染,然后植入恶意木马谋取非法利益。其危害通常包括:
l APT攻击可能用于窃取企业机密(源码、运营情报等);
l 入侵网站植入Webshell木马留下后门;
l 组建僵尸网络,用于挖矿、DDoS攻击、垃圾邮件营销、广告刷量(点击广告链接、视频刷量、直播刷量等);
l 利用入侵控制的游戏主机做跳板,对其他目标进行攻击;
l 入侵后利用各种漏洞攻击工具、爆破弱口令进行横向扩散,以控制更多受害者主机;
l 专门盗窃虚拟币交易的剪贴板大盗木马,常用于黑吃黑,往往伴随挖矿木马僵尸网络出现。失陷的云主机还可能被不同的黑产团伙控制,恶意木马之间相互查杀清除也相当普遍;
l 安装远控木马,直接远程控制受害主机。
恶意木马攻击事件的典型案例如下:
1.1. APT攻击
事件摘要
某游戏公司发现内网资产存在APT组织Winnti常用攻击样本。
告警IOC
文件MD5 |
文件名 |
病毒名 |
f46c6ce5caaa2a79a2334611eaac1b65 |
autoipv6 |
Linux.Rootkit.Agent.Ecae |
8e7488555351c6d4811a4dd17d9c53c6 |
autoipv6 |
Linux.Rootkit.Agent.Ednw |
病毒简介
APT攻击,即高级可持续威胁攻击,也称为定向威胁攻击,指某组织对特定对象展开的持续有效的攻击活动。这种攻击活动具有极强的隐蔽性和针对性,通常会运用受感染的各种介质、供应链和社会工程学等多种手段实施先进的、持久的且有效的威胁和攻击。
针对游戏开发者的APT攻击,可能用于窃取源码,搭建私服,这会对游戏开发者带来巨大经济损失。
1.2. Webshell
事件摘要
某游戏公司发现内网资产存在Webshell的相关样本。
告警IOC
文件MD5 |
文件名 |
病毒名 |
41179dcc4da692c78e521caf1737b26c |
261046620191114201336.aspx |
Script.ASPX.GenBackdoor.yl |
病毒简介
Webshell就是以asp、php、jsp或者cgi等网页文件形式存在的一种代码执行环境,也可以将其称做为一种网页后门。黑客在入侵了一个网站后,通常会将asp或php后门文件与网站服务器WEB目录下正常的网页文件混在一起,然后就可以使用浏览器来访问asp或者php后门,得到一个命令执行环境,以达到控制网站服务器的目的。
1.3. nitol木马
事件摘要
某游戏公司发现内网资产存在nitol的相关样本。
告警IOC
文件MD5 |
文件名 |
病毒名 |
150f08b99a4eca5a587cd7aa924eeb90 |
MDM.EXE |
Win32.Trojan.Obfuscator.Duwl |
病毒简介
Nitol是一个相对古老的僵尸网络,之前腾讯安全威胁情报中心曾爆出Nitol新增挖矿业务,近期又监测到Nitol又开新业务“广告刷量”,通过后台模拟人工点击广告链接来牟利。病毒刷量的操作频率可用疯狂来形容:每15秒点击一个广告资源,每个广告资源会点击上万次,为避免被用户发现,病毒还会在刷量前屏蔽音频播放功能。
1.4. Outlaw木马
事件摘要
某游戏公司发现内网资产存在Outlaw的相关样本。
告警IOC
文件MD5 |
文件名 |
病毒名 |
10ea65f54f719bffcc0ae2cde450cb7a |
tsm32 |
Elf.Backdoor.Ssh.a |
病毒简介
腾讯安全威胁情报中心检测到国内大量企业遭遇亡命徒(Outlaw)僵尸网络攻击。亡命徒(Outlaw)僵尸网络最早于2018年被发现,其主要特征为通过SSH爆破攻击目标系统,同时传播基于Perl的Shellbot和门罗币挖矿木马。腾讯安全威胁情报中心安全大数据显示,亡命徒(Outlaw)僵尸网络已造成国内约2万台Linux服务器感染,影响上万家企业。
1.5. 大灰狼远控木马
事件摘要
某游戏公司发现内网资产存在MadoMiner的相关样本。
告警IOC
文件MD5 |
文件名 |
病毒名 |
25db4510243517a4d792e92b7dd92a83 |
大灰狼远程管理.exe |
Win32.trojan.Black.xg |
45b80eb7352c175686fa8a6f08b41faa |
123.EXE |
Win32.Trojan-downloader.Cutwail.Pdwi |
病毒简介
腾讯安全威胁情报中心检测到一个具有劫持浏览器、弹出广告、视频网站刷量、远程控制等多种攻击方式的木马家族,该木马捆绑在一些破解激活工具中传播。腾讯安全专家建议用户尽量使用正版软件,避免下载使用那些盗版破解激活工具,以免因此中招。木马首先会安装名为“videoDriver”的rootkit病毒,并在每次开机时劫持浏览器跳转到广告页面,然后注入系统进程svchost.exe并下载刷量木马y2b.exe刷量youtube视频。通过腾讯高级威胁溯源系统进行溯源分析还发现了具有相同c2地址的chrome搜索劫持木马,以及可以完全控制用户电脑,将中毒电脑变成“肉鸡”的大灰狼远程控制木马。
2、异常登录行为
在云上主机运营管理过程中,有些主机可能早已失陷,被黑客获得控制权。异常登录审计可以帮助游戏厂商发现异常登录活动,及时处置,防止损失扩大。通过异常登录审计发现非常用登录源、登录地点、用户名等,运维人员可根据实际情况将可信的登录源添加至白名单。
图4
统计结果显示,有59%的游戏主机在近30天内曾经发生过异常登录。
图5
异常登录次数最多的端口为22,占比超过70%,异常登录次数量级达每月千万次。22为远程登录服务默认端口,其他为各厂商自定义的服务端口。异常登录中最为常见的用户名为work、root和game,登录次数每月高达数百万次,常用用户名存在异常登录的占比超过85%,其他自定义的用户名则显著低于常用用户名。
3、服务爆破行为
爆破攻击入侵在2020年呈明显上升趋势。
图6
游戏厂商云主机在30天内曾经遭遇爆破攻击的比三分之二还要多(占69%),检测数据反映出业务系统避免使用弱密码对安全有多重要。
图7
爆破攻击次数最多的端口为22和3389,均为远程登录服务的默认端口,爆破次数每月达数十亿次,这两个端口被爆破攻击的占比达到98%,其他自定义的服务端口被爆破的次数显著小于使用默认端口。由此可见,业务系统使用自定义的端口号,就可以大幅减少爆破攻击风险。
爆破攻击常用的用户名为root、admin和administrator等常用的系统默认用户名。默认用户名被爆破的次数达到每月数亿次到数十亿次,占比超过85%。使用自定义用户名,被爆破攻击的次数显著少于常用的默认用户名。
4、漏洞风险
漏洞风险从趋势上看未有明显上升。
图8
有高达54%的企业在3天内发现存在漏洞风险,意味有较多企业存在漏洞风险没有及时修复。一个月未发现漏洞风险的占比仅25%,积极修复安全漏洞的系统管理员不占多数。该数据提醒安全运维人员需要更加积极的响应安全漏洞告警,避免云上资产沦为黑客攻击目标。
图9
主要存在的漏洞风险类型为远程命令、代码执行,这两类漏洞往往为高风险等级。
图10
按漏洞名称统计,排名领先的漏洞风险为OpenSSH xauth输入验证漏洞和Redis 基线合规检测。
图11
未及时修复的高危漏洞风险占87%,中危12%,数据显示目前游戏行业整体云上资产面临较大安全挑战,建议相关企业安全运维人员提高风险意识,积极修复安全漏洞。
图12
漏洞利用的典型案例
4.1挖矿木马GuardMiner
在2020年6月,腾讯安全威胁情报中心检测到跨平台挖矿木马GuardMiner近期十分活跃,该木马会扫描攻击Redis、Drupal、Hadoop、Spring、thinkphp、WebLogic、SQLServer、Elasticsearch多个服务器组件漏洞,并在攻陷的Windows和Linux系统中分别执行恶意脚本init.ps1,init.sh,恶意脚本会进一步下载门罗币挖矿木马、清除竞品挖矿木马并进行本地持久化运行。在Linux系统上利用SSH连接和Redis弱口令爆破进行内网扩散攻击。因挖矿守护进程使用文件名为sysguard、sysguerd、phpguard,腾讯安全威胁情报中心将该挖矿木马命名为GuardMiner。
参考链接:https://mp.weixin.qq.com/s/-nUrNilr-iq7kbmopaqXwA
4.2 8220挖矿团伙
8220挖矿团伙自2017年左右开始活跃,攻击目标包括Windows以及Linux服务器,该团伙早期会利用Docker镜像传播挖矿木马,后来又逐步利用Redis未授权访问漏洞、Kubernetes未授权访问漏洞、JBoss漏洞(CVE-2017-12149)、Weblogic漏洞(CVE-2017-10271)、Couchdb漏洞(CVE-2017-12635和CVE-2017-12636)、Drupal漏洞(CVE-2018-7600)、Hadoop Yarn未授权访问漏洞、Apache Struts漏洞(CVE-2017-5638)、Tomcat服务器弱口令爆破进行攻击,并且在2020年被发现开始通过SSH爆破进行横向攻击传播。
腾讯安全最近捕捉到的8220团伙是利用Nexus Repository Manager 3和Confluence Server高危漏洞攻击,入侵后将核心shell程序xms下载到感染机器上执行,xms会尝试卸载安全软件,杀死竞品挖矿木马进程,关闭Linux防火墙、设置最大线程和内存页以保证挖矿时对机器资源的充分利用。
图13 8220团伙的最新攻击流程
5、安全基线
安全基线问题风险从趋势上看未有明显上升。
图14
统计数据表明,游戏行业30天内未发现安全基线风险的云上主机仅有12%,有45%的企业曾在3天内发现安全基线风险,这意味有较多的游戏厂商主机存在安全基线风险未能及时处置。
图15
主要存在的安全基线风险为Linux口令过期后账号最长有效天数策略、Linux帐户超时自动登出配置和限制root权限用户远程登录。
图16
未修复的安全基线风险主要为中危,但依然存在4%的高危风险。
图17
安全基线风险利用典型案例
亡命徒(Outlaw)僵尸网络感染约2万台Linux服务器
在2020年7月,腾讯安全威胁情报中心检测到国内大量企业遭遇亡命徒(Outlaw)僵尸网络攻击。亡命徒(Outlaw)僵尸网络最早于2018年被发现,其主要特征为通过SSH爆破攻击目标系统,同时传播基于Perl的Shellbot和门罗币挖矿木马。腾讯安全威胁情报中心安全大数据显示,亡命徒(Outlaw)僵尸网络已造成国内约2万台Linux服务器感染,影响上万家企业。
参考链接:https://mp.weixin.qq.com/s/4_E6kPuodxb3_inVCq2fqg
6、高危命令执行
高危命令有可能是黑客入侵之后,进一步执行恶意操作时执行的命令,也有可能是运维人员在日常操作时候执行的风险命令。需要运维人员针对高位命令的执行进行重点关注,及时研判是否是主动执行,高危命令审计对发现服务器潜在风险有着十分重要的意义。高危命令执行过于频繁,意味着安全管理存在疏忽大意、权限管理不够严谨的可能。
从近3个月来看,高危命令的执行有上升趋势。
图18
统计表明,游戏厂商云主机在一个月内执行危险命令的,占到一半,有22%的企业曾在3天内有高危命令执行操作。
图19
执行的高危命令主要有curl下载后执行和nc命令执行。
图20
7、网络攻击事件
网络攻击指黑客从外网对云上主机进行入侵攻击,以及攻陷主机之后在内网进一步横向扩散的攻击行为。对于网络攻击,需要及时进行阻断,防止云上主机大面积沦陷。
从近三个月的趋势来看,网络攻击整体呈上升趋势。
图21
按时间跨度统计,网络攻击情况尚可,有86%的公司未发生过此类事件。
图22
在检测到的网络攻击事件中,主要为命令注入攻击。
图23
三、安全趋势
组件漏洞攻击增多
近年可以发现,组件漏洞的披露越来越频繁;从各安全厂商发表的威胁情报内容也可以发现,针对漏洞的攻击响应日益频繁。随着云上业务的发展,云上服务器使用的组件变得更加多样。当组件存在漏洞时,便给了黑客入侵的有利途径,能够轻而易举突破防御攻陷主机。
安全基线问题日益凸显
安全基线类问题往往会被忽略,但确实又是黑客最为容易利用的漏洞。例如当主机登录密码使用了默认口令、弱口令时,黑客能够轻易通过爆破登录主机执行恶意操作。安全基线能够有效提高黑客的入侵门槛,建议运维人员严格按照安全规范进行配置。
定向攻击更为普遍
在2020年10月,腾讯主机安全捕获首例云上针对游戏行业的APT攻击。在以往APT更多的会针对国家重点单位进行攻击,如今在多个行业里均开始出现了APT攻击的身影。针对游戏行业的APT攻击,往往会窃取游戏源码、机密资料等信息,将会给游戏制作企业带来严重危害。
挖矿木马广泛传播
挖矿木马在云上攻击事件中是最为流行的安全事件之一。一旦主机被传播挖矿木马之后,挖矿木马会占用大量主机资源,进而影响业务正常运行。此外挖矿木马往往带有主动传播能力,能够在内网利用各个漏洞进行传播扩散。因此发现主机挖矿木马时需要及时查杀,并且定位失陷原因进行漏洞修复。有个别企业存在内部工作人员利用操作权限云上挖矿的行为,需要加强对内部人员的权限管理。
勒索病毒攻击仍需重点防范
尽管在游戏行业云上主机中,暂未发现勒索病毒攻击的案例。但在整个云上攻击攻击事件中,勒索病毒攻击依然相当流行。勒索病毒会通过加密主机上的数据文件来勒索巨额赎金,否则业务将会受到严重影响,甚至停摆。建议运维人员定期备份重要数据资料,防止数据丢失后无法找回。
四、安全建议
主机安全
全网安装部署腾讯安全终端管理软件、云上主机安全软件,企业管理员可以通过这些安全解决方案及时发现内网入侵风险,及时封堵弱点,进行安全基线检测,修补漏洞,建议由于其他原因不能及时安装补丁的系统,考虑在网络边界、路由器、防火墙上设置严格的访问控制策略、软件限制策略,以保证网络的动态安全。
重点服务器的保护
建议对重要的网络服务进行远程访问策略配置、对管理节点进行限制,只限定允许的IP地址访问管理后台。数据库服务避免使用弱密码,配置最大错误登录次数,防止远程黑客进行暴力破解。
部署云防火墙产品
推荐游戏厂商在公有云环境部署腾讯云防火墙产品,用以云上资产的边界防护,解决云上资产的访问控制、日志审计与安全管理。腾讯云防火墙针对热门漏洞、常见漏洞、高危漏洞提供热补丁防护功能,无需在业务系统中安装真实补丁,即可在线获得对高危漏洞的拦截防护能力。腾讯云防火墙接入腾讯安全威胁情报系统,对恶意源IP、危险域名的访问流量,进行精准拦截。
权限管控
从企业生产专有云网络向企业公有云资产“横向移动”,呈现出APT攻击的新特点。随着游戏企业业务上云正在成为发展新趋势,相关企业需要建设专有云和公有云网络边界防护体系,避免出现安全短板。在企业内网向公有云的“横向移动”过程中,不安全的权限控制成为最主要的防御短板,尤其是IT运维权限,一旦被渗透,攻击者可能从开发、运维内部网络横向扩散到云上主机,给企业造成严重的数字资产损失。腾讯安全为客户提供了零信任iOA体系来解决权限管控问题,在企业办公网和云上生产网之间,增加一道坚实的防护屏障。
在线咨询
方案定制