惡意程式
Alibaba OSS Bucket 遭駭客入侵使用圖像隱碼術(Steganography)散播惡意指令列腳本
本文介紹一起針對 Alibaba Cloud (阿里雲) OSS bucket的惡意攻擊,此攻擊使用外洩的登入憑證來散布惡意程式並暗中挖礦。
先前我們介紹過駭客如何利用組態設定錯誤、或是利用強度太弱的密碼或惡意程式搜刮到的登入憑證來駭入 Huawei Cloud (華為雲) 等雲端環境並安裝虛擬加密貨幣挖礦惡意程式。這一次,我們發現了一起駭客攻擊使用 Alibaba Cloud 的物件儲存服務 (OSS) 來散布惡意程式並從事虛擬加密貨幣挖礦。OSS 是一種可讓 Alibaba Cloud 客戶將網站應用程式的圖片和備份資訊等等儲存在雲端的服務。不幸的是,這已經不是第一次我們發現專門攻擊 Alibaba Cloud 的駭客,今年稍早我們也介紹過駭客停用了 Alibaba Cloud 的某些功能以便能暗中挖礦。
駭客如何利用不安全的 OSS bucket 及登入憑證
使用者在使用 OSS bucket時務必設定適當的存取政策來確保其安全,若沒設好,就可能讓不肖使用者上傳檔案到 bucket或者下載 bucket 中的檔案。
駭客可先取得使用者的存取金鑰 ID/機密 或認證金鑰來掌控使用者的 OSS bucket。而這些資訊可能來自先前駭客已經入侵的服務,尤其是那些將機密以明碼方式儲存在組態設定檔或環境變數中的服務。此外,駭客也會利用登入憑證竊取程式取得 OSS bucket 的存取權限,例如,TeamTNT 強大的登入憑證搜括工具就是一個惡名昭彰且針對各種雲端設計的資訊竊取程式。
當我們在研究這起攻擊的技術細節時,我們發現到一個指令列腳本提到了 OSS KeySecret 和 GitHub。我們的第一個想法是,駭客應該是在 GitHub 公開儲存庫上找到一些被開發人員不小心發布到 GitHub 的登入憑證。
接著,我們在某個分析到的惡意腳本中看到一段註解證明了我們的想法 (我們使用 Google 翻譯將這段中文註解翻成英文)。
使用圖像隱碼術來散布惡意程式並攻擊 OSS bucket
經過進一步的研究,我們發現駭客會上傳一些圖片到已經駭入的 OSS bucket 上,並使用圖像隱碼術在圖片中內嵌惡意腳本。
圖像隱碼術是一種駭客用來躲避資安防禦 (尤其是網路式防禦) 的技巧。最簡單的圖像隱碼術就是將惡意檔案的副檔名改成「.png」之類的圖片檔。如此,一些只會檢查副檔名的安全代理器 (proxy) 就不會攔截這類惡意檔案。
不過這樣的技巧被識破之後,網路犯罪集團便開始改用其他更好的方法,例如,將惡意程式隱藏在圖片和影片檔案中來掩人而目。傳統的資安產品較為單純,它們在檢查圖片檔時只會分析檔案的標頭內容,如果檔案標頭與一些無害的檔案類型 (例如 PNG 檔案) 吻合,那資安產品就會放行,讓檔案進入企業網路當中,即使圖片內容暗藏著惡意腳本。
在這起攻擊當中,駭客使用的就是這種簡單的圖像隱碼術,將惡意程式內嵌在圖片檔中。其使用的 PNG 檔案本身是正常的圖片,只不過駭客在檔案末端插入了一個惡意的指令列腳本。所以使用者還是可以正常看到圖片,只是看不到被插入的惡意腳本。
不過,當我們下載該圖片並深入查看時,我們發現它內嵌了一個惡意指令列腳本。
惡意程式的作者會使用 Unix 的 dd 指令來將惡意腳本從圖片中取出。由於這個指令通常是用於一些高階的系統維護工作,因此顯然惡意程式作者對於 Unix 系統的了解在中上程度。
惡意腳本攻擊組態設定不當的 Redis 執行個體並開挖門羅幣
我們發現駭客的惡意腳本會利用 XMRig 這套開放原始碼多平台挖礦工具暗中開挖門羅幣 (Monero),其礦池位於 xmr-asia1[.]nanopool[.]org。此外,惡意腳本還會攻擊組態設定不當的 Redis 執行個體以便用來執行遠端程式碼,這樣的作法與過去許多駭客集團 (如 TeamTNT 和 Kinsing) 在爭奪主機挖礦資源的情況一樣。
結論與趨勢科技解決方案
我們隨時都在關注駭客集團如何適應新的環境並攻擊更多的雲端服務,預料這樣的趨勢還會持續下去。因此我們建議雲端使用者應隨時提高警覺,在大多數情況下,駭客還是會想盡辦法利用雲端服務的組態設定錯誤與設計缺陷來輕易取得存取認證金鑰。
開發人員應避免將登入憑證和機密儲存到版本控管系統,或者發布到公開的儲存庫。事實上,這份研究再次證明了駭客隨時都在處心積慮尋找外洩或暴露在外的登入憑證。
在資安防護方面,Trend Micro Cloud One™ 能為雲端原生系統的各個層面提供全方位的防護。企業若採用這套解決方案,還能保護持續整合/持續交付 (CI/CD) 流程與應用程式,此外 Trend Micro Cloud One 平台還提供了 Workload Security 執行時期工作負載防護。
入侵指標 (IoC)
- 495605cee98f3b437c3744c24fcf255d1cee7717f7e3150d38f95673ca0617e4
- 8ec8e800fe3f627ce9f49268e4d67e944848f8ae3a8efc2ef6f77e46781a70f3
- 8bb70f52377091ccbb13e7be0a1d4dab079edeca6adc18b126bbdc40dbcf3ae4
- ce95789643e31a65ee77a31c69a6952e9e260200b50e0e8ba6bf8493cce7fb71
- 34c78249ab1415afacd16cf76375a800d8d56fa5ac60b5522146e65c1521955b
