一、报告背景 产业互联网时代，云计算 IT 架构以更简单的架构设计、更高的性价比、更灵活的系统 颠覆了传统 IT 基础架构，但随着算力、IT 架构、攻防节奏、以及数据资产的不断变化，也 为云上安全提出了新的挑战。 随着业务上云的兴起，安全攻防的主战场也转而上云。在腾讯全球数字生态大会上， 腾讯副总裁丁珂指出， “产业互联网让国民经济更具韧性，也让有准备的企业家迎来新 的机遇。产业上云，安全先行，在数字化升级过程中，要以战略视角、产业视角和生 态视角去看待安全，进行前置部署。“ 对于多数处于数字化转型期的企业来说，安全设备、研发投入、人才招聘的成本 负担很高，从零开始自建防御体系难度颇大，企业上云是应对数字时代安全问题的“最 优解”。 腾讯在网络安全耕耘 20 余年的经验，拥有 7 大安全实验室超过 3500 人的专业 安全团队。依托云原生安全思路，我们构建了云适配的原生安全产品架构，既可以有 效地保障腾讯云平台自身安全，也能让云上企业有效降低安全运营门槛、提升整体的 安全水位。使得公有云的政企用户在面临来自世界各地的网络攻击时，仍能从容应对。 本报告将 2020 年，针对公有云的攻击特点进行总结，帮助政企用户更全面的掌 控云上安全风险，及时采用正确的应对措施，化解网络安全威胁，让 IT 平台更好地服 务业务和最终用户。 1 二、云上安全风险 1、恶意木马 1.1 恶意木马趋势 云上恶意木马事件在下半年有明显上升。 图1 从恶意木马检出结果来看，有 6.3%的公司曾在一个月内发现恶意木马事件，这一数据 表明云上主机发生恶意木马入侵事件已不是小概率事件（统计学上，通常将概率低于 5%称 为小概率事件。 ） 1.2 恶意木马类型 Top 榜 从检出的恶意木马统计可以发现，公有云用户所中木马的类型主要为感染型木马、 DDoS 攻击木马和后门木马。感染型木马具有主动扩散能力，建议发现主机存在感染型木马 2 时，立即进行全盘扫描，防止进一步扩散。 图2 1.3 恶意木马处理情况 在发现的恶意木马中，有 27%的恶意木马未及时处理，建议及时处理，防止进一步扩 散。此外有 1%的病毒木马被信任，这是个值得警惕的指标，强烈建议不要轻易将恶意木马 添加至信任区。 图3 3 1.4 典型案例 Mirai 僵尸网络利用 Apache Hadoop Yarn 资源管理系统 REST API 未授权访问漏洞入侵云主机 腾讯安全威胁情报中心检测到 Mirai 僵尸网络利用 Apache Hadoop Yarn 资源管理系 统 REST API 未授权访问漏洞入侵云主机，入侵传播的 Mirai 木马会通过 C&C 服务器下发 命令进行 DDoS 攻击。 早在 2018 年腾讯云鼎实验室就披露过恶意软件利用 Hadoop Yarn REST API 未授权 漏洞入侵挖矿的案例（https://www.freebuf.com/vuls/173638.html） 。两周前，腾讯安全 威 胁情 报中心 发现“ 永恒 之蓝 ”下载 器木马 最新 变种 同样利 用该漏 洞进 行攻 击传播 （https://mp.weixin.qq.com/s/953ZHaf8IjLGyxB3tWSoDQ） 。可见，由于运维人员在创 建容器集群时缺乏安全意识，未对 Hadoop Yarn 进行安全配置，致使越来越多的黑客通过 该漏洞入侵云服务器。 参考链接：https://mp.weixin.qq.com/s/IdKj2OZmVIUcj9RSERdlTQ 挖矿木马团伙 z0Miner 利用 Weblogic 未授权命令执行漏洞（CVE2020-14882/14883）的攻击行动 腾讯主机安全（云镜）于 2020.11.02 日捕获到挖矿木马团伙 z0Miner 利用 Weblogic 未授权命令执行漏洞（CVE-2020-14882/14883）的攻击行动。该团伙通过批量扫描云服 务器发现具有 Weblogic 漏洞的机器，发送精心构造的数据包进行攻击。之后执行远程命令 下载 shell 脚本 z0.txt 运行，再利用该 shell 脚本植入门罗币挖矿木马、挖矿任务本地持久 化，以及通过爆破 SSH 横向移动。根据该团伙控制的算力推算，已有大约 5000 台服务器 4 受害。 由于 Weblogic 未授权命令执行漏洞（CVE-2020-14882/14883）10 月 21 日才被官 方公布，有许多企业未来得及修复，同时该漏洞的补丁存在被绕过的风险。因此该挖矿木马 可能对云主机造成较大威胁。 参考链接：https://mp.weixin.qq.com/s/cyPZpB4zkSQccViM0292Zg 腾讯主机安全（云镜）捕获 Kaiji DDoS 木马通过 SSH 爆破入侵 腾讯安全威胁情报中心在为客户提供安全巡检服务时，发现腾讯主机安全（云镜）告警 SSH 爆破入侵事件，遂对事件进行溯源追查，溯源到有疑似国内黑客开发的木马 Kaiji 通过 22 端口弱口令爆破入侵服务器。攻击者入侵云主机会下载二进制木马将自身安装到系统启 动项进行持久化，并且可根据 C2 服务器返回的指令进行 DDoS 攻击。 参考链接：https://mp.weixin.qq.com/s/hacyPAA82rgEBivwOYhuEg Mykings 僵尸网络新变种传播 PcShare 远程控制木马 腾讯安全威胁情报中心检测到 Mykings 挖矿僵尸网络变种木马，更新后的 Mykings 会 在被感染系统安装开源远程控制木马 PcShare，对受害电脑进行远程控制：可进行操作文件、 服务、注册表、进程、窗口等多种资源，并且可以下载和执行指定的程序。 Mykings 僵尸网络木马还会关闭 Windows Defender、检测卸载常见杀毒软件；卸载 竞品挖矿木马和旧版挖矿木马；下载“暗云”木马感染硬盘主引导记录（MBR)实现长期驻 留；通过计划任务、添加启动项等实现开机自动运行等行为。 MyKings 僵尸网络最早于 2017 年 2 月左右开始出现，该僵尸网络通过扫描互联网上 1433 及其他多个端口渗透进入受害者主机，然后传播包括 DDoS、Proxy（代理服务） 、RAT 5 （远程控制木马）、Miner（挖矿木马）、暗云 III 在内的多种不同用途的恶意代码。由于 MyKings 僵尸网络主动扩散的能力较强，影响范围较广，对企业用户危害严重。根据门罗 币钱包算力 1000KH/s 进行推测，Mykings 僵尸网络目前已控制超过 5 万台电脑进行挖矿 作业。 参考链接：https://mp.weixin.qq.com/s/wZvnq6gVnEdGSH6f6oG8MA Muhstik 僵尸网络通过 SSH 爆破攻击国内云服务器 腾讯安全威胁情报中心检测到大量源自境外 IP 及部分国内 IP 针对国内云服务器租户 的攻击。攻击者通过 SSH（22 端口）爆破登陆服务器，然后执行恶意命令下载 Muhstik 僵 尸网络木马。该僵尸网络会控制失陷服务器执行 SSH 横向移动、下载门罗币挖矿木马和接 受远程指令发起 DDoS 攻击。 腾讯安全威胁情报中心经过用户授权，对此次攻击进行溯源分析，发现国内多家知名企 业的云服务器均受到该僵尸网络攻击，目前已有上千台服务器沦陷受害。腾讯安全专家建议 相关企业采取必要措施，拦截入侵者，恢复已失陷的系统。 参考链接：https://mp.weixin.qq.com/s/ExBUifhDQTQEbU3sz7WNVA GuardMiner 挖矿木马活跃，具备蠕虫化主动攻击能力 腾讯安全威胁情报中心检测到跨平台挖矿木马 GuardMiner 近期十分活跃，该木马会 扫描攻击 Redis、Drupal、Hadoop、Spring、thinkphp、WebLogic、SQLServer、 Elasticsearch 多个服务器组件漏洞，并在攻陷的 Windows 和 Linux 系统中分别执行恶意 脚本 init.ps1，init.sh，恶意脚本会进一步下载门罗币挖矿木马、清除竞品挖矿木马并进行 本地持久化运行。在 Linux 系统上利用 SSH 连接和 Redis 弱口令爆破进行内网扩散攻击。 6 因挖矿守护进程使用文件名为 sysguard、sysguerd、phpguard，腾讯安全威胁情报中心 将该挖矿木马命名为 GuardMiner。 因该病毒已具备蠕虫化主动攻击扩散的能力，近期已有较多企业中招。腾讯安全专家建 议政企机构尽快修复服务器组件漏洞，相关服务避免使用弱口令。腾讯安全系列产品均可检 测并协助清除 GuardMiner 挖矿木马。 参考链接：https://mp.weixin.qq.com/s/-nUrNilr-iq7kbmopaqXwA 2、云上勒索 一部分黑客入侵云主机之后，会尝试实施勒索攻击，腾讯安全目前观察到针对云上勒索 的攻击有两类情况：数据库锁库勒索和勒索病毒加密。幸运的是，大量黑灰产业攻击云上主 机，最终用来挖矿的最为常见，其次是作为攻击跳板或控制失陷主机组建僵尸网络，直接实 施勒索攻击的相对少见。 一类是数据库锁库勒索，以 mysql 数据库勒索最为常见。攻击过程通常包括 3 步： 1) 信息收集：通过开源代码泄露，默认端口扫描等方式，获取到存在 mysql 服务的 IP 列表。 2) 爆破攻击：利用密码字典爆破 mysql 密码（一般是扫描 root 账号，使用 NMAP， xHydra，Metasploit 等工具爆破） 3) 锁库勒索：利用获取到的 mysql 密码，登录后删除数据库数据勒索。或者直接在数 据库内，将原有数据加密后存入新表中（利用 Mysql 自带的 aes 加密函数） ，然后创建表存 储勒索赎金相关信息。 另一类为入侵后下载运行勒索病毒，主要针对 Windows 系统云主机。攻击过程通常为 4 步： 7 1) 信息收集：批量扫描，获取 IP 列表 2) 爆破攻击：RDP 爆破 3) 登录投毒：登录受害者服务器，横向渗透，或作为跳板对外攻击 4) 加密勒索：失去利用价值后，加密本地文件勒索 同样是勒索攻击，黑灰产业针对云上资产的勒索，其危害远不如针对企业私有网络的攻 击，对受害者造成的实质性威胁也较小。这其中有个非常重要的原因：政企机构将业务上云 之后，较多情况下会部署相对完善的备份、容灾方案。当攻击者发现针对云上主机的勒索攻 击屡屡不能得手的时候，云上勒索攻击便无法成为云上威胁的主流。 尽管如此，腾讯安全团队建议业务上云的政企机构切莫小视勒索威胁，攻击者入侵控制 云上主机，就有利用被控肉鸡系统牟利的各种可能性，任何时候都不可忽视业务容灾备份的 重要性。 3、异常登录行为 异常