Penjahat Cyber ​​Menargetkan Alibaba Cloud untuk Cryptomining, Malware

Cybercriminals menargetkan instance Alibaba Elastic Computing Service (ECS), menonaktifkan fitur keamanan tertentu untuk mencapai tujuan cryptomining mereka. Alibaba menawarkan beberapa opsi unik yang menjadikannya target yang sangat menarik bagi penyerang, catat para peneliti.
Daftar sekarang untuk acara LIVE kami!

Menurut penelitian dari Trend Micro, cloud raksasa China (juga dikenal sebagai Aliyun) memiliki agen keamanan yang sudah diinstal sebelumnya. Meskipun menonaktifkan keamanan bukanlah taktik baru, dalam hal ini penyerang menggunakan sepotong kecil kode spesifik dalam malware cryptomining untuk membuat aturan firewall baru, menginstruksikan filter keamanan untuk menjatuhkan paket masuk dari rentang IP milik zona dan wilayah internal Alibaba. .

Biasanya, ketika malware cryptojacking dipasang di ember Alibaba ECS, agen keamanan akan mengirimkan pemberitahuan kepada pengguna bahwa skrip berbahaya sedang berjalan. Dalam kasus ini, meskipun terdeteksi, “agen keamanan gagal membersihkan kompromi yang berjalan dan dinonaktifkan,” menurut analisis Trend Micro, yang diposting Senin. “Melihat sampel malware lain menunjukkan bahwa agen keamanan juga telah dicopot sebelum dapat memicu peringatan untuk kompromi.”

Setelah melewati fitur keamanan, malware kemudian melanjutkan untuk menginstal cryptominer XMRig yang tersedia, yang menambang untuk Monero.

Cryptojackers Enter as Default Root Users

Penargetan Alibaba sedang meningkat berkat beberapa fitur unik dari layanan, catat para peneliti, dan cara instans cloud dapat dikonfigurasi.

“Instans Alibaba ECS default menyediakan akses root,” menurut ke analisis. “Dengan Alibaba, semua pengguna memiliki opsi untuk memberikan kata sandi langsung ke pengguna root di dalam mesin virtual (VM).”

Ini berbeda dengan bagaimana penyedia layanan cloud lain merancang akses penyimpanan mereka, para peneliti menunjukkan. Dalam kebanyakan kasus, prinsip hak istimewa paling rendah adalah di depan dan di tengah, dengan opsi yang berbeda seperti tidak mengizinkan otentikasi Secure Shell (SSH) melalui pengguna dan kata sandi, atau mengizinkan otentikasi kriptografi asimetris.

Dengan begitu, jika penyerang cyber mendapatkan kredensial, masuk hanya dengan sedikit -akses hak istimewa akan mengharuskan mereka melakukan “upaya yang ditingkatkan” untuk meningkatkan hak istimewa, menurut Trend Micro: “Penyedia layanan cloud lainnya tidak mengizinkan pengguna untuk masuk melalui SSH secara langsung secara default, sehingga pengguna yang kurang memiliki hak istimewa diperlukan. ”

Tetapi dalam ember ECS Alibaba default, penyerang dengan kredensial curian atau eksploitasi kompromi awal yang berfungsi akan masuk dengan hak istimewa setinggi mungkin, kata para peneliti. Itu membuka pintu untuk penyebaran muatan canggih seperti rootkit modul kernel dan untuk membangun kegigihan melalui menjalankan layanan sistem.

“Mengingat fitur ini, tidak mengherankan bahwa beberapa pelaku ancaman menargetkan Alibaba Cloud ECS hanya dengan memasukkan cuplikan kode untuk menghapus perangkat lunak yang hanya ditemukan di Alibaba ECS,” pungkas analysis.

Sumber Daya Mahal, Muatan Tambahan

Dalam hal dampak, Trend Micro juga mencatat bahwa Alibaba ECS memiliki fitur penskalaan otomatis, sehingga layanan akan secara otomatis memperluas ketersediaan sumber daya komputasi tergantung pada tuntutan. Ini memberi cryptominers sumber daya tak terbatas dan dapat mengakibatkan kejutan tagihan bagi korban.

“Meskipun fitur ini diberikan kepada pelanggan tanpa biaya tambahan, peningkatan penggunaan sumber daya mendorong biaya tambahan,” menurut analisis. “Pada saat penagihan tiba ke organisasi atau pengguna tanpa disadari, cryptominer kemungkinan telah mengeluarkan biaya tambahan. Selain itu, pelanggan yang sah harus secara manual menghapus infeksi untuk membersihkan infrastruktur dari penyusupan.”

Juga, kode malware bersifat modular, sehingga cryptominer dapat “dengan mudah diganti” dengan malware lain untuk dieksekusi di lingkungan, para peneliti di perusahaan notes.

“Penyerang dapat…dengan mudah mengganti cryptominer jahat dengan malware lain yang berpotensi mendorong mereka mendapatkan lebih banyak keuntungan atau menyebar ke beban kerja dan titik akhir lainnya,” mereka menjelaskan. “Serangan berikutnya dapat dilakukan pada proyek atau infrastruktur karena betapa mudahnya menyusup ke lingkungan dengan hak istimewa pengguna yang tinggi.”

Untuk melindungi diri mereka dari pelaku ancaman yang mencuri sumber daya cloud, pengguna harus membuat pengguna yang kurang memiliki hak istimewa untuk menjalankan aplikasi dan layanan dalam setiap instance Alibaba ECS, peneliti merekomendasikan.

Mereka juga menawarkan panduan tambahan ini:

<

ul>

  • Praktikkan model tanggung jawab bersama: Baca panduan, sesuaikan dan aktifkan lapisan keamanan beban kerja dan proyek yang sesuai.liu

    <

    ul>iPastikan ada lebih dari satu lapisan malware- alat pemindaian dan deteksi kerentanan.liu

    <

    ul>iSesuaikan fitur keamanan proyek cloud dan beban kerja: Terlepas dari fitur yang ditawarkan CSP Anda, hindari menjalankan aplikasi di bawah hak akses root dan menggunakan kata sandi untuk SSH.liu

    <

    ul>iGunakan kriptografi kunci publik untuk akses.liu

      iIkuti prinsip hak istimewa paling rendah : Batasi jumlah pengguna dengan yang tertinggi mengakses hak istimewa sesuai dengan tingkat keterlibatan masing-masing dalam proyek atau aplikasi.

    Ingin memenangkan kembali kendali atas sandi tipis yang ada di antara jaringan Anda dan serangan siber berikutnya? Bergabunglah dengan Darren James, kepala TI internal di Specops, dan Roger Grimes, penginjil pertahanan berbasis data di KnowBe4, untuk mengetahui caranya selama acara LIVE Threatpost gratis, “Reset Kata Sandi: Mengklaim Kontrol Kredensial untuk Menghentikan Serangan,” pada Rabu ., 17 November jam 2 siang ET. Disponsori oleh Specops.

    Daftar SEKARANG untuk acara LANGSUNG!
    Tulis komentar
    Bagikan artikel ini:

  • Cloud Securityliu

    <

    ul>iCryptographyliu

    <

    ul>iMalwareliu

      iKeamanan Web
  • Wagiman Wiryosukiro

    Petani Sistem Informasi, tukang las plugin & themes Wordpress. Co-Founder SistemInformasi.biz. Saat ini aktif sebagai Developer & kontributor di OpenMandriva Linux.

    You may also like...

    %d bloggers like this: