云服务首要威胁分析:用户如何保护自己的资产?

2017-12-29 15:23:36
前面对暗云的分析报告中,腾讯电脑管家安全团队基本摸清暗云Ⅲ的感染方式和传播方式,也定位到被感染暗云Ⅲ的机器会在启动时从服务端下载任务脚本包——ndn.db文件,且该文件会常进行更换。此外,撰写本文的同时,腾讯电脑管家安全团队也收集到多个不同功能的ndn.db文件,以下对暗云Ⅲ危害展开具体分析。

       随着云服务产业链的成熟完善,云服务器开始在国内大行其道。方便的开通和使用方式,高效便捷的管理,按需付费等灵活特性,更别提其他配套的上下游运维,数据库组件,和传统的服务器供应商提供的服务相比,简直是云泥之别。

       正因为便捷,许多人就花几分钟开个服务器,然后就专心于业务的开发和部署了,对于服务器运维方面,则完全不在关注。这很像之前面向普通用户的软件所提倡的”click it, then forget it”,使用体验很赞;然而也正是”forget it”,却造成了巨大的安全隐患。

       腾讯安全旗下反病毒实验室和云鼎实验室联合响应小组日前就发现了多起针对腾讯云Win平台的入侵和资源盗窃攻击,这些攻击主要集中在内网入侵,挖矿,肉鸡,DDOS等方面。

       为了让用户不受恶意软件侵扰,通过腾讯云安全中心情报联动机制,我们帮助用户清除和防范了这些威胁,让用户自己的资源完全掌控在自己手里。

       那么在云端黑客最喜欢的攻击和攻击后的利用方式是啥?我们该如何防范这些风险呢?请看下文。



云端首要威胁

        我们分析了这些攻击中所使用的恶意软件样本,并对样本拦截情况做了相关统计,Top5的样本拦截次数如下:

        来自LapKa后门家族的样本攻击非常频繁,几乎是其他几个家族病毒的总和。

        同时这5类样本的新样本增加也非常多,高峰时期最高达到90/天左右:

        病毒频繁的活动引起了我们的注意,接下来,我们就对这几类病毒抽丝剥茧,详细审视一番。


威胁详解

        那么这些威胁有什么特点呢?一般通过什么途径在云上传播呢?让我们接着看:

        一、 Nitol僵尸网络家族,腾讯反病毒服务检出为Lapka和Macri。会感染内网其他机器。

        我们在多台服务器上检出了该样本五花八门的变种。之所以感染范围如此之广,是因为此类变种会扫描内网然后暴力破解其他主机登录密码,破解后部署变种在上边。然后控制服务器发动DDOS攻击,监控你的业务,等等。

        详细分析:

        1. 木马在运行开始时设置自身的服务名,并且检查该服务是否已安装在注册表中,若已安装则启动服务,若未安装则将自身拷贝到系统目录,安装该服务,创建注册表,并启动服务。

 

        2. 服务启动之后,会尝试使用内置的弱口令字典对内网进行爆破,若爆破成功则对内网机器进行感染传播,将自身以特定的文件名复制到内网机器的各磁盘上,并远程启动该服务。

        3. 服务启动后,木马与远程C&C控制端开始通信,将本机的系统版本、机器名称、系统的启动时间、CPU频率、内存大小等信息上传至控制端,同时接收并执行远程控制端发送的命令,包括下载文件、打开IE浏览器、进行DDOS攻击等。

        4. Nitol样本除了暴力破解内网之外,一般和NSA公布的Shadowbreakers漏洞利用套件结合起来传染部署。在受到感染的机器上,很多都同时存在该漏洞套件的文件。下图是在我们帮助下清理威胁的一位客户机器上的漏洞套件文件:


        二、 Remoh,CoinMiner家族。入侵后偷偷在后台挖矿。

        这类样本会偷偷地在后台挖矿,耗掉你大部分cpu资源。更可恶的是该样本家族在内网还会通过ftp感染其他机器。

        而且,此类样本还会伪装成屏保或者正常进程,防止用户发现:


         详细分析:

        Remoh,CoinMiner家族样本会通过嵌入在网页上的IFRAME标签来强制浏览器下载木马文件,在用户不知情的情况下在用户电脑启动挖矿进程,占用用户计算资源。

        1. 木马在启动之后把自身复制到各个磁盘的根目录。挖矿使用的矿池地址编码在木马中,并且将矿池信息存储在temp目录下的文档中。

        2. 木马挖矿进程所需的参数包括矿池地址、挖矿协议、线程数、钱包地址、密码,其中池地址从文档中获取,同时可以得知所使用的挖矿协议为stratum,其他参数均是从特定网页中取到。

        直接取到的内容为加密数据,以下为其解密算法:

        解密后木马挖矿进程开始进行挖矿,以下为其中一个运行示例:

        3. 木马为了传播自身,会通过弱口令字典尝试访问内网的其他机器,也向多个ip地址发起ftp请求,一旦访问成功则将自身复制到其他机器的各个磁盘,以达到传播自身的目的。


       三、 Farfli家族。通过感染宿主文件,使宿主文件具备后门能力。

        这类样本会感染常用EXE文件,染毒的文件运行之后也会自动运行恶意代码,执行远控,继续感染其他文件,破坏于无形之中。非常可怕,防不胜防!

        详细分析:

        1. 木马启动后会复制自身到C:\Program Files\Microsoft ******\系统目录下,并且重命名为7个随机字符的名字,创建进程并添加注册表自启动项。



        2. 然后通过运行新生成的一个vbs脚本将自身删除,同时再将该vbs脚本删除。

        3. 启动的新进程解密出远程通信地址,建立起与远程控制端的通信连接,接收控制端发来的命令,包括获取并上传机器个磁盘的文件名、记录键盘操作、定时关机等:


防护小贴士

        安全无小事,处处得留心。针对上述情况,我们准备了些安全小贴士,遵守这些规则可以帮助你规避大多数安全风险:

        1.  服务器请勿使用Admin账户和弱密码。

        2.  留意后台不合理资源消耗。

        3.  确认使用的软件时原版文件。

        4.  开启腾讯云上云镜主机防护服务,云镜已全面接入Tav反病毒引擎。无须担心上述威胁侵袭。


最新资讯