サイバー犯罪
サイバー犯罪者集団がAlibaba ECSインスタンスをクリプトジャッキングに悪用する手口を解説
トレンドマイクロが複数のペイロードで確認した1つの共通する仕組みである、Alibaba Cloudが提供するクラウドサービス内の機能を無効化する手口に焦点を当てます。加えて、複数の攻撃者やマルウェアがAlibaba Cloud(別称:Aliyun)を標的と定めた理由や、これらの不正な採掘活動がAlibaba Cloudユーザに与える影響についても考察します。
オンプレミス、クラウド環境を問わず、攻撃者が設定ミスのあるLinuxサーバを積極的に侵害していることは知られています。侵害されたサーバは、暗号資産(旧:仮想通貨)「Monero」を採掘する活動(マイニング)を中心としたクリプトジャッキングの目的に悪用されることがほとんどです。悪名高い事例の1つとして、クラウドサービスへの攻撃活動に重点を置いた最初のハッキンググループの1つである「TeamTNT」が挙げられます。
クリプトジャッキングが蔓延る戦場は、KinsingやTeamTNTを含めた複数の攻撃者グループによって共有されています。彼らのコード内における2つの共通した特徴は、同じ感染マシン内で暗号資産を採掘している別のコインマイナーを削除することと、感染マシン内で発見したセキュリティ機能を無効化することです。これらの機能により攻撃者は、Huawei Cloudのシステムを対象に高度なサニタイジング処理(無害化)が実行された事例のように、乗っ取ったリソースに対して優位に立つことができます。
本ブログ記事では、トレンドマイクロが複数のペイロードで確認した1つの共通する仕組みである、Alibaba Cloudが提供するクラウドサービス内の機能を無効化する手口に焦点を当てます。加えて、複数の攻撃者やマルウェアがAlibaba Cloud(別称:Aliyun)を標的と定めた理由や、これらの不正な採掘活動がAlibaba Cloudユーザに与える影響についても考察します。
トレンドマイクロは本ブログ記事を公開する前にAlibaba Cloudチームに連絡を取りましたが、今回の懸念については回答を待っているところです。
■ Alibaba ECSとは
Alibaba Elastic Computing Service(ECS)インスタンスには、あらかじめセキュリティエージェントがインストールされています。このため、攻撃者は侵害時にセキュリティエージェントをアンインストールしようと試みます。このような動作をするペイロードはこれまでにも確認されているため、驚くことではありません。しかし今回トレンドマイクロは、Alibaba内部のゾーンやリージョンに属するIPレンジから受信したパケットをドロップ(破棄)するためのファイアウォールルールを作成するコードをマルウェア内で発見しました。
図1:ファイアウォールルールを作成する特定の不正コードを持つAlibaba ECSインスタンスの例
図2:Alibaba ECSのセキュリティエージェントを無効化する様子
さらに、デフォルトのAlibaba ECSインスタンスはルートアクセスを備えています。他のクラウドサービスプロバイダでは、パスワード認証方式によるSecure Shell(SSH)認証を許可せずに、公開鍵認証方式のみを許可するなど、最も権限の低いユーザも含めて様々なオプションが用意されています。このように、他のクラウドサービスプロバイダではデフォルトでrootユーザがSSH経由で直接ログインすることは許可されていないため、rootユーザではなく権限の低いユーザが必要になります。
これにより、例えば、ログイン時に使用する認証情報(シークレット)が流出して攻撃者が低い権限の付与されたアクセス権を得たとしても、攻撃者は権限を昇格させるためにさらなる労力をかける必要があります。しかし、Alibaba Cloudではすべてのユーザが仮想マシン(VM)内のrootユーザに直接パスワードを設定するオプションがあります。
図3:デフォルト設定されているECSインスタンス上のroot権限
セキュリティ上、これは最小特権の原則に反するものであると同時に、セキュリティ構成に関してはユーザの責任であることを強調する必要があります。トレンドマイクロでは、ECSインスタンス内でアプリケーションやサービスを実行する際には、より権限の低いユーザを作成して付与することを強く推奨しています。
上記の状況では、脆弱性の悪用、あらゆる設定ミスにおける問題、脆弱な認証情報、データ漏洩などを介した侵害活動時に、攻撃者は可能な限りの最上位権限を持つことになります。このようにして攻撃者は、カーネルモジュールのルートキットなどの高度なペイロードや、実行中のシステムサービスを悪用した活動持続化を展開することが可能になります。このような特徴を考慮すると、複数の攻撃者が、Alibaba ECSにしか存在しないソフトウェアを削除するためのコードスニペットを単に挿入することで、Alibaba Cloud ECSを攻撃活動の標的とするのも不思議ではありません。
図4:高い権限を悪用してオープンソースのルートキット「diamorphine」を展開している様子
■ Alibaba Cloud上でのクリプトジャッキングの手口
Alibaba ECS内でコインマイナーが実行されている場合、プリインストールされているセキュリティエージェントは、悪意のあるスクリプトが実行されているという通知を送信します。その後に進行する感染被害や不正活動を停止させるのはユーザの責任となります。Alibaba Cloud Securityでは、Linuxを実行するElastic Compute Service(ECS)インスタンスで異常なCPU使用率への対処方法に関するガイドなどセキュリティに関するベストプラクティスを提供しています。さらに重要な点は、このような感染被害が最初から発生しないようにユーザ側で常に責任を持って対策しなければならないことです。
図5:クリプトジャッキングに用いられたコインマイナーの例
例えば、トレンドマイクロがある検体を調査したところ、マルウェアが検出されたにもかかわらず、セキュリティエージェントは進行する侵害活動をクリーンアップすることができずに無効化されてしまいました。別のマルウェア検体でも同様で、セキュリティエージェントは侵害活動に関するアラートを出す前にアンインストールされていたことが明らかとなりました。その後これらの検体は、コインマイナー「XMRig」のインストールを開始しました。さらなる調査の結果、これらの検体は、コインマイナーを別のマルウェアに簡単に置き換えて感染環境内で実行できることがわかりました。
また、Alibaba ECSにはAuto Scaling機能があり、ユーザや法人組織の要望する容量に応じてコンピューティング・リソースを自動的に調整することができます。需要が増加した場合、Auto Scaling機能によりECSインスタンスは列挙されたポリシーに基づいて要望に応じます。この機能は加入者に追加料金なしで提供されますが、リソースの使用量が増加した場合は追加料金が発生します。感染被害に気付いていない法人組織やユーザに請求書が届く頃には、既にコインマイナーによる追加コストが発生している可能性があります。この場合、ユーザは侵害されたインフラをクリーンアップするために、手動で感染源を取り除く必要があります。
図6:マルウェアがセキュリティエージェントをアンインストールした手口の例
今回トレンドマイクロが入手した検体は、Alibabaを標的とするキャンペーンに関わっていた可能性があります。さらにこれらの検体は、Huawei Cloudなど、同じくアジアに拠点を置くクラウドサービスプロバイダを標的とした他のキャンペーンと共通の特徴、機能、仕組みを備えていることも判明しました。加えて、このような不正アクセスを検出したという別の報告がセキュリティニュースサイト「Threatpost」からもされています。
図7:侵害されたAlibaba Cloud(左)とHuawei Cloud(右)の検体の比較図
両キャンペーンに用いられた検体には共通の特徴があり、特に「敵対者(競合する別のコインマイナー)」を削除することや、パブリックDNSを必ず使用するなど、次の段階で実行する攻撃活動に備えて感染環境を構成する点が挙げられます。コーディングスタイルは異なりますが、機能を実行させる目的はどちらの攻撃も類似しています。
■ 被害に遭わないためには
Alibaba Cloudのパフォーマンス低下は、Alibaba Cloudインフラストラクチャ内でクリプトジャッキング活動を実行させたままにしておいた結果の1つであり、マイニングプロセスが多くのリソースを消費するために生じます。さらに、ユーザがAuto Scaling機能を使用してインスタンスを設定している状況では、サブスクリプション(定期購入)に想定外のコストがかかる可能性があります。
攻撃者は、侵害範囲を容易に拡大できることに気付いているため、コインマイナーをより多くの利益を得られる別のマルウェアに置き換えたり、別のワークロードやエンドポイントに拡散したりする可能性があるほか、高い権限を持った状態でクラウド環境に侵入することが容易なため、その後の攻撃活動は特定のプロジェクトやインフラに対して行われる可能性もあります。
トレンドマイクロは、インフラストラクチャ内に展開される可能性のある不正活動についてさらに調査を続けています。また、以下に組織が準拠すべきベストプラクティスをいくつか示します。
- 責任共有モデルを実践すること。クラウドサービスプロバイダおよびユーザの双方が、ワークロード、プロジェクト、クラウド環境におけるセキュリティ設定を安全に保つ責任があります。クラウドサービスプロバイダが提供するガイドに目を通し、ワークロードやプロジェクトのセキュリティ層を適宜カスタマイズして有効化すること。また、クラウド環境のセキュリティに最適なポリシーを有効化し、マルウェアスキャンツールや脆弱性検出ツールを複数のレイヤーで利用できるようにすること。
- クラウドプロジェクトおよびワークロードのセキュリティ機能をカスタマイズすること。クラウドサービスプロバイダの提供する機能であっても、root権限でアプリケーションを実行したり、SSH認証で直接ログインできるように許可しないこと。アクセス認証には公開鍵認証方式を使用すること。
- 最小特権の原則に従うこと。プロジェクトやアプリケーションへの関与の度合いに応じて、最上位のアクセス権限を持つユーザの数を制限すること。
■ 侵入の痕跡(Indicators of Compromise、IoC)
今回の記事に関する侵入の痕跡は、こちらを参照してください。
参考記事:
- 「Groups Target Alibaba ECS Instances for Cryptojacking」
by David Fiser, Alfredo Oliveira
記事構成:高橋 哲朗(セキュリティマーケティンググループ)
平子 正人(セキュリティマーケティンググループ)
翻訳:益見 和宏(Core Technology Marketing, Trend Micro™ Research)