挖礦蠕蟲肆虐，詳解雲防火牆如何輕鬆“制敵”

根據阿里雲安全團隊釋出的《2018年雲上挖礦分析報告》顯示，過去一年中，每一波熱門0 Day的出現都伴隨著挖礦蠕蟲的爆發性傳播，挖礦蠕蟲可能因為佔用系統資源導致業務中斷，甚至還有部分挖礦蠕蟲同時會捆綁勒索病毒(如XBash等)給企業帶來資金與資料的損失。

如何提升企業的安全水位，抵禦挖礦蠕蟲的威脅成為每個企業都在思考的問題。本文以雲上環境為例，從挖礦蠕蟲的防禦、檢測和入侵後如何迅速止血三方面來闡述阿里云云防火牆如何全方位抵禦挖礦蠕蟲。

1.挖礦蠕蟲的防禦

1.1 挖礦蠕蟲的傳播方式

據阿里雲安全團隊觀察，雲上挖礦蠕蟲主要利用網路上普遍存在的通用漏洞和熱門的0 Day/N Day漏洞進行傳播。

1.1.1 通用漏洞利用

過去一年挖礦蠕蟲普遍會利用網路應用上廣泛存在的通用漏洞(如配置錯誤、弱密碼等)對網際網路持續掃描和攻擊，以對主機進行感染。下表是近期活躍的挖礦蠕蟲廣泛利用的通用漏洞：

1.1.2 0 Day/N Day漏洞利用

0 Day/N Day在網路上未被修復的視窗期也會被挖礦蠕蟲利用，迅速進行大規模的感染。下表是近期活躍的挖礦蠕蟲利用過的熱門0 Day/N Day漏洞:

1.2 挖礦蠕蟲的防禦

針對這兩類利用方式，阿里云云防火牆作為業界首款公共雲環境下的SaaS化防火牆，應用可以透明接入，可以對雲上進出網路的惡意流量進行實時檢測與阻斷，在防禦挖礦蠕蟲方面有著獨特優勢。

1.2.1 通用漏洞的防禦

針對挖礦蠕蟲對SSH/RDP等進行暴力破解的攻擊方式，雲防火牆的基礎防禦支援常規的暴力破解檢測方式，如登入或試錯頻次閾值計算，對超過試錯閾值的行為進行IP限制，還支援在使用者的訪問習慣、訪問頻率基線的基礎上，結合行為模型在保證使用者正常訪問不被攔截的同時對異常登陸進行限制。

針對一些通用的漏洞利用方式(如利用Redis寫Crontab執行命令、資料庫UDF進行命令執行等)，雲防火牆的基礎防禦基於阿里雲的大資料優勢，利用阿里雲安全在雲上攻防對抗中積累的大量惡意攻擊樣本，可以形成精準的防禦規則，具有極高的準確性。

若您需要開啟雲防火牆的基礎防禦，只需要在安全策略->入侵防禦->基礎防禦配置欄勾選基礎規則即可，當基礎防禦開啟後，在網路流量分析->IPS阻斷分析中可以看到詳細的攔截日誌，相關參考如下：

1.2.2 0 Day/N Day漏洞防禦

由於熱門0 Day/N Day漏洞修復不及時，被挖礦蠕蟲利用感染的風險較大。雲防火牆透過結合全網部署的蜜罐分析異常攻擊流量和阿里雲先知平臺漏洞情報的共享，可以及時發現針對0 Day/N Day的漏洞利用，第一時間獲取漏洞poc/exp，並落地形成虛擬補丁，在與駭客的攻防對抗中佔得時間先機。

使用者可以在【安全策略->入侵防禦->虛擬補丁】配置欄中可以開啟當前熱門挖礦蠕蟲所利用的高危漏洞，下圖是近期活躍的挖礦蠕蟲各自利用過的0 Day/N Day漏洞對應的虛擬補丁。

2. 挖礦蠕蟲的檢測

在與蠕蟲攻防對抗中，即使在公網邊界做好入侵防禦措施仍有可能感染挖礦蠕蟲。比如挖礦蠕蟲可以透過VPN直接由開發機傳播到生產網，也有由於運維使用的系統映象、Docker映象就已經被植入挖礦病毒，從而導致大規模感染的爆發。

因此，針對挖礦蠕蟲的即時感知至關重要。雲防火牆透過NTA能力提供的入侵檢測功能，能夠有效發現挖礦蠕蟲感染事件。

利用雲上強大的威脅情報網，雲防火牆可以及時發現常見貨幣的礦池地址、檢測挖礦木馬的下載行為和常見的礦池通訊協議，實時識別主機的挖礦行為，並及時告警。

使用者可以透過【網路流量分析->入侵檢測】中看到每次攻擊事件的摘要、影響資產、事件詳情等類目資訊，使用者只需在一鍵防禦類目中開啟攔截模式，一鍵提交，即可在網路端阻斷挖礦木馬與礦池的通訊。

依據詳情提供的外聯地址資訊，使用者可以在主機端查詢到相應的程式快速清理二進位制程式。

3.入侵後如何快速止血？

若伺服器已感染挖礦蠕蟲，雲防火牆可以從惡意檔案下載阻斷、中控通訊攔截、重點業務區強訪問控制三方面控制蠕蟲進一步傳播，減少業務和資料的進一步損失。

3.1 惡意檔案下載阻斷

惡意檔案下載防禦是基礎防禦中重要功能之一，伺服器在感染挖礦蠕蟲後通常會進行惡意檔案下載，基礎防禦整合惡意檔案檢測能力，對下載至伺服器的檔案在流量中進行安全檢測，在檢測到嘗試下載惡意檔案時進行告警並阻斷。

雲防火牆基礎防禦能力會實時更新常見挖礦蠕蟲的各類惡意檔案的唯一性特徵碼和檔案模糊hash，在挖礦蠕蟲入侵成功/進一步下載更新新的攻擊載荷時，會對下載至伺服器的檔案在流量中進行檔案還原及特徵匹配，對檢測到嘗試下載惡意檔案時進行告警並阻斷。

3.2 中控通訊攔截

在感染挖礦蠕蟲後，針對挖礦蠕蟲可能和C&C控制端進行通訊，接收進一步的惡意行為指令或者向外洩漏敏感資料等，雲防火牆的基礎防禦功能進行實時攔截主要透過以下三方面來實現：

• 透過分析和監控全網蠕蟲資料和中控伺服器通訊流量，可以對異常通訊流量特徵化，落地形成中控通訊檢測特徵，透過實時監控中控通訊變化，不斷的提取攻擊特徵，確保及時檢測到攻擊行為；
• 透過自動學習歷史流量訪問資訊，建立異常流量檢測模型，挖掘潛在的未知挖礦蠕蟲資訊；
• 利用大資料視覺化技術對全網IP訪問行為關係進行畫像，利用機器學習發現異常IP及訪問域，並聯動全網攻擊資料，最終落地形成中控威脅情報庫，從而可以對伺服器流量通訊進行情報匹配，實時阻斷惡意的中控連線通訊。

下圖是透過基礎防禦和威脅情報對中控通訊攔截的記錄：

3.3 重點業務區強訪問控制

由於業務本身需要，重點業務通常需要將服務或埠對全公網開放，而來自網際網路的掃描、攻擊卻無時不刻窺探企業的資產，對外部的訪問控制很難做到細粒度管控。而對某一臺ECS、某一個EIP或內部網路主動外聯場景下，域名或IP數量其實都是可控的，因為該類外聯通常都是進行合法的外聯訪問，例如DNS、NTP服務等，少量企業自身業務需要也通常只是少許特定IP或域名，故透過對內對外的域名或IP進行管控，可以很好的防止ECS主機被入侵之後，從惡意域名下拉挖礦木馬或木馬與C&C進行通訊等行為。

雲防火牆支援訪問控制功能，支援域名(含泛域名)和IP配置。針對重點業務的安全問題，可以透過配置一個強粒度的內對外訪問控制，即重要業務埠只允許特定域名或者特定的IP進行訪問，其他一律禁止。透過以上操作可以很有效的杜絕挖礦蠕蟲下載、對外傳播，防止入侵後階段的維持與獲利。

例如以下場景中，內網對外訪問的總IP數為6個，其中NTP全部標識為阿里雲產品，而DNS為我們所熟知的8.8.8.8，透過雲防火牆的安全建議，我們可以將上述6個IP進行放行，而對其他IP訪問進行全部拒絕。透過如上的配置，在不影響正常業務訪問的情況下，防止其他如上提及到的惡意下載、C&C通訊的對外連線行為。

結語

由於網際網路上持續存在的通用應用漏洞、0 Day漏洞的頻發、以及挖礦變現的高效率，挖礦蠕蟲大規模蔓延。雲上客戶可以透過透明接入雲防火牆，保護自身應用不受網際網路上各種惡意攻擊的威脅。同時雲防火牆可以伴隨客戶業務水平彈性擴容，讓客戶更多的關注業務的擴充套件，不需要花費更多精力投入在安全上。

更重要的是，雲防火牆依託雲上海量的計算能力，能夠更快的感知最新的攻擊威脅、並且聯動全網的威脅情報給使用者最佳的安全防護，使使用者免於挖礦蠕蟲威脅。

原文連結

本文為雲棲社群原創內容，未經允許不得轉載。