在过去的几年中,随着加密货币挖掘恶意软件的兴起,网络分子一直在尝试各种不同的货币化计划。 越来越普遍的方法之一是针对云-特别是企业云基础架构。 AT&T的一份报告概述了网络分子针对企业的云基础架构使用的四种方法:受损的容器管理平台,恶意Docker映像,API密钥盗窃和控制面板利用。
滥用受到威胁的容器管理平台。 容器是开发人员用来容纳应用程序所有组件(包括管理界面,文件,代码和库)的一种技术。 已知网络分子会利用其中的漏洞或利用配置错误的容器来部署恶意软件。 在2018年2月的一次事件中就是这种情况,当时发现攻击者滥用了电动汽车制造商受损的Kubernetes基础设施。 然后,攻击者使用受感染的容器执行加密货币挖矿操作。
此外,还发现攻击者通过滥用开放的API和未经身份验证的管理接口来破坏这些平台。
运行恶意Docker映像。 Docker是另一个无处不在的开发工具,用于构建,运行和分发容器。 构建这些容器通常会花费时间和资源,因此,一些Docker用户会诉诸使用预构建的映像来满足他们的需求。 AT&T报告指出,当用户无意中下载包含加密货币矿工的图像时,就会出现问题。 正如矿工经常去的那样,非法采矿服务很难被发现,并且在未经用户知情和同意的情况下在后台进行操作。
隐藏API密钥。 API密钥盗窃是一种众所周知的破坏云基础架构的方法,通常仅涉及基本扫描,以搜索诸如GitHub之类的服务中发布的源代码,以搜索可公开访问的API密钥。 通过获取这些API密钥的访问权限,网络罪犯可以执行各种恶意行为,从通过交易机器人买卖货币到使用被黑客入侵的帐户进行挖矿。
利用Web主机控制面板。 网络分子还转向试图通过网络托管技术的控制面板获得管理访问权限,以允许他们部署恶意软件,包括加密货币挖掘恶意软件。 尽管漏洞利用是一种可能的入侵手段,但它们往往是组织控制范围内因素(例如配置不当)的结果。 例如,在2018年10月的一次事件中,攻击者利用了暴露的Docker API端口,从而允许他们在受影响的计算机中部署Monero矿工。
如果个人和组织通过设计优先考虑安全性(包括正确实施以下基本最佳做法),则可以防止大量此类攻击: 如果用户非常小心,千万不要将其访问密钥暴露给公众,则可以防止API密钥被盗。 应始终正确配置云服务,以避免任何潜在的利用。 即使是更改控制面板的默认密码之类的基本操作,也可以消除大量攻击。 许多容器技术带有集成的安全性功能,如果用户计划使用这些平台,则应设置这些安全性功能。
企业还应该考虑实施自动化的运行时和图像扫描,以提高对容器过程的可见性。 应用程序控制和完整性监控还有助于发现组织系统内的任何可疑活动。
Trend Micro帮助DevOps团队安全地构建,快速交付并在任何地方运行。 趋势科技™混合云安全解决方案在组织的DevOps管道内提供强大,简化和自动化的安全性,并提供多种XGen™威胁防御技术来保护运行时的物理,虚拟和云工作负载。 它还通过趋势科技服务器深度安全防护系统(Deep Security™)解决方案和趋势科技服务器深度安全防护系统深度安全检查(Deep Security Smart Check)为容器增加了保护,该技术可以在开发管道中的任何时间间隔扫描Docker容器映像中的恶意软件和漏洞,以在部署威胁之前阻止威胁。
郑重声明:本文版权归原作者所有,转载文章仅为传播更多信息之目的,如作者信息标记有误,请第一时候联系我们修改或删除,多谢