Cloud Firewall は、悪意のあるトラフィックをリアルタイムで検知・ブロックすることで、マイニングプログラムから防御します。このトピックでは、クラウド環境を例に、Alibaba Cloud Firewall と Security Center を組み合わせて、マイニングプログラムに対する包括的な保護を実現する方法について説明します。予防、検知、即時修正を網羅しています。
制限事項
Cloud Firewall のエディションによる制限
Cloud Firewall Premium、Enterprise、または Ultimate Edition を使用する必要があります。これらのエディションのみがマイニングプログラムの検知と防御をサポートしています。無料版はサポートしていません。マイニングプログラムを検知または防御するには、Cloud Firewall Premium、Enterprise、または Ultimate Edition を購入する必要があります。詳細については、「Cloud Firewall の購入」をご参照ください。
Security Center:エディションの制限事項
Security Center の機能はエディションによって異なります。詳細については、「機能」をご参照ください。
マイニングプログラムの特徴
マイニングプログラムは CPU をオーバークロックさせ、大量の CPU リソースを消費するため、サーバー上で実行されている他のアプリケーションに影響を与えます。
マイニングプログラムの特徴は、コンピューターワームの特徴と似ています。マイニングプログラムがサーバーに侵入すると、同じ内部ネットワークにデプロイされているサーバーに拡散します。サーバーが侵害されると、マイニングプログラムはサーバー上で永続化を実現します。
マイニングプログラムは複数のシステムサービスに拡散し、システムからの削除が困難です。マイニングプログラムが繰り返し出現したり、システムコマンドが悪意のあるスクリプトに置き換えられたりする可能性があります。その結果、システムは XOR DDoS などの悪意のあるスクリプトを実行する可能性があります。マイニングプログラムの実行期間中に、サーバーからすべてのトロイの木馬と永続的な Webshell を削除する必要があります。これにより、将来的にマイニングプログラムが出現するのを防ぎます。
マイニングワームの拡散方法
Alibaba Cloud セキュリティチームの「2018年クラウドマイニング分析レポート」によると、過去1年間、人気のゼロデイ脆弱性が現れるたびに、マイニングワームの爆発的な拡散が続きました。マイニングワームは、システムリソースを消費することでサービス中断を引き起こす可能性があります。XBash などの一部のマイニングワームは、ランサムウェアもバンドルしており、企業に金銭的およびデータ上の損失をもたらす可能性があります。
Alibaba Cloud セキュリティチームは、クラウド上のマイニングワームが主に以下の一般的な脆弱性を利用して拡散することを発見しました:
一般的な脆弱性の悪用
過去1年間、マイニングワームは、ネットワークアプリケーションにおける広範囲にわたる脆弱性を一般的に悪用してきました。これには、設定ミス、弱いパスワード、Secure Shell (SSH)、Remote Desktop Protocol (RDP)、Telnet に対するブルートフォース攻撃などが含まれます。ワームは継続的にインターネットをスキャンし、ホストを攻撃して感染させます。
ゼロデイおよび Nデイ脆弱性の悪用
マイニングワームはまた、ゼロデイおよび Nデイ脆弱性がパッチされる前の機会を悪用し、迅速かつ大規模な感染を可能にします。
マイニングワームに対する防御ソリューション
防御フェーズ | 防御ソリューション | 関連操作 |
準備 | Cloud Firewall のアクセス制御機能を使用して、信頼できるトラフィックのみを許可するアクセス制御ポリシーを作成します。 | アウトバウンドアクセス制御ポリシーを作成して、信頼できるパブリック IP アドレスを許可し、他のすべての IP アドレスを拒否します。詳細については、「アクセス制御ポリシー」をご参照ください。 |
Cloud Firewall の脅威エンジンを有効にして、マイニング動作を迅速にブロックします。 | ||
Cloud Firewall の侵入防止機能を使用して、攻撃トラフィックを効果的に検知・ブロックします。 | ||
Security Center のプロアクティブ防御機能を使用して、一般的なウイルス、悪意のあるネットワーク接続、Webshell 接続を自動的にブロックします。これにより、ECS インスタンスでのマイニングイベントを抑制できます。 | ||
Security Center のセキュリティアラート処理機能を使用して、ECS インスタンス上で実行中のマイニングプログラムやマイナープールとの通信を確認します。 | ||
実行フェーズ | Cloud Firewall の侵害検知機能を使用して、マイニングプログラムを迅速に検知します。 | Breach Detection ページで、リストから特定のイベントとアウトバウンドアドレスを特定できます。詳細については、「Cloud Firewall でマイニングワームを検出する」をご参照ください。 |
Cloud Firewall の侵入防止機能を使用して即時修正を行います。 | 悪意のあるファイルのダウンロードをブロックするには、基本的な保護 スイッチをオンにします。詳細については、「侵入後に Cloud Firewall を使用して即時修正を行う方法」をご参照ください。 | |
Cloud Firewall のアクセス制御ポリシーを使用して、マイニング接続をブロックします。 | 信頼できるパブリック IP アドレスを許可するアウトバウンドアクセス制御ポリシーを作成し、マイナープールアドレスへのアクセスを拒否に設定します。 | |
Cloud Firewall の ATT&CK ベストプラクティスを使用します。 | Cloud Firewall は、基本ポリシー、仮想パッチ、脅威インテリジェンスなど、ATT&CK フレームワークのさまざまなリスクをカバーする機能を提供します。詳細については、「ATT&CK に基づく Cloud Firewall のベストプラクティス」をご参照いただき、ネットワークセキュリティを強化してください。 | |
修正後フェーズ | Security Center を使用して、マイニングプログラムによる攻撃のソースを追跡します。 | 7日以内にマイニング通信やアラートが表示されなければ、マイニングプログラムまたはトロイの木馬は正常に削除されています。クエリ結果の詳細については、「侵害検知」をご参照ください。 |
Cloud Firewall を使用したマイニングワームからの防御
一般的な脆弱性に対する防御
SSH や RDP への攻撃など、マイニングプログラムからのブルートフォース攻撃に対して、Cloud Firewall の 基本的な保護 機能は、標準的な検出方法を使用します。 例えば、ログインや試行錯誤の頻度のしきい値を計算し、これらのしきい値を超えた IP アドレスを制限します。 この機能は、お客様のアクセスパターン、アクセス頻度、および動作モデルを使用して、異常なログインは制限しつつ、通常のアクセスがブロックされないようにします。
Redis への Crontab コマンドの書き込みや、データベースのユーザー定義関数 (UDF) を使用したコマンド実行など、一般的なエクスプロイトに対して、基本保護機能は Alibaba Cloud のビッグデータ機能を活用します。Alibaba Cloud セキュリティチームが収集した多数の悪意のある攻撃サンプルに基づいて、正確な防御ルールを作成します。
Cloud Firewall の基本保護機能を有効にして、一般的な脆弱性から防御するには、次の手順を実行します:
Cloud Firewall コンソールにログインします。
左側のナビゲーションウィンドウで、を選択します。
インターネットボーダー タブで、Threat Engine Mode を ブロックモード - 緩い に設定します。
タブで、基本的な保護 機能を有効にします。
左側のナビゲーションウィンドウで、 を選択します。侵入防御 ページでは、データリストに詳細なブロックログを表示できます。
ゼロデイおよび Nデイ脆弱性に対する防御
パッチが適用されていないゼロデイおよび Nデイ脆弱性は、マイニングプログラムに悪用される高いリスクをもたらします。Cloud Firewall は、ネットワーク全体にデプロイされたハニーポットを使用して異常な攻撃トラフィックを分析します。また、Alibaba Cloud 脅威インテリジェンスプラットフォームから脆弱性インテリジェンスを取得します。これにより、Cloud Firewall はゼロデイおよび Nデイ脆弱性を迅速に発見し、その PoC (概念実証) やエクスプロイトを取得し、仮想パッチを作成できます。これにより、攻撃に対する防御において時間的な優位性が得られます。
Cloud Firewall の仮想パッチ機能を有効にして、ゼロデイおよび Nデイ脆弱性から防御するには、次の手順を実行します:
Cloud Firewall コンソールにログインします。
左側のナビゲーションウィンドウで、 を選択します。
仮想パッチ タブで 仮想パッチ 機能をオンにすると、リストで仮想パッチルールを表示または管理できます。
Cloud Firewall を使用したマイニングワームの検知
パブリックネットワーク境界で侵入防止策を講じても、ご利用の資産がマイニングプログラムに感染する可能性はあります。たとえば、マイニングプログラムは開発マシンから VPN を介して本番ネットワークに直接拡散する可能性があります。運用保守 (O&M) に使用される OS イメージや Docker イメージがすでにマイニングウイルスに感染している場合、大規模なアウトブレイクが発生する可能性があります。
Cloud Firewall は、ネットワークトラフィック分析 (NTA) を利用した Breach Detection 機能を提供します。この機能は、マイニングプログラムの感染イベントを迅速かつ効果的に発見できます。クラウド上の強力な脅威インテリジェンスネットワークを使用することで、Cloud Firewall は、一般的な暗号通貨のマイナープールアドレスを識別し、マイニングトロイの木馬のダウンロードを検出し、一般的なマイナープールの通信プロトコルを識別できます。リアルタイムでホストのマイニング動作を認識し、迅速にアラートを送信します。
Cloud Firewall の Breach Detection 機能で Quick Blocking を有効にすると、マイニングプログラムを検知できます。この機能は、ネットワークレベルでマイニングのトロイの木馬とマイナープール間の通信もブロックします。Cloud Firewall でワンクリック侵入検知防御を有効にするには、以下の手順を実行します。
Cloud Firewall コンソールにログインします。
左側のナビゲーションウィンドウで、 を選択します。
侵入検知 ページで、リストから特定のイベントを見つけ、操作する 列の Details をクリックします。
Event Details パネルで、マイニングプログラムのアウトバウンドアドレスを表示できます。
マイニングプログラムが検知されたサーバーにログインし、マイニングプロセスを見つけて削除します。
侵入後の Cloud Firewall を使用した即時修正方法
サーバーがマイニングプログラムに感染した場合、Cloud Firewall は、悪意のあるファイルのダウンロードのブロック、C&C (コマンド&コントロール) 通信の遮断、主要なビジネスエリアのアクセス制御の強化という3つの方法で、その拡散を制御し、ビジネスおよびデータの損失を軽減できます。
悪意のあるファイルのダウンロードのブロック
マイニングプログラムに感染したサーバーは、多くの場合、追加の悪意のあるファイルをダウンロードします。 Cloud Firewall の 基本的な保護 機能には、悪意のあるファイル検出機能が含まれています。 この機能は、一般的なマイニングプログラムからのさまざまな悪意のあるファイルに対して、固有の署名とファジーファイルハッシュのリアルタイム更新を提供します。 マイニングプログラムが侵入に成功し、更新された攻撃ペイロードをダウンロードしようとすると、Cloud Firewall はダウンロード中のファイルに対してセキュリティチェックを実行します。 これらのチェックには、トラフィック内でのファイルの復元と署名照合が含まれます。 悪意のあるファイルのダウンロード試行が検出されると、アラートが生成され、ダウンロードはブロックされます。
IPS の設定 ページの タブで、基本保護スイッチをオンにして悪意のあるファイルのダウンロードをブロックできます。
C&C (コマンド&コントロール) 通信の遮断
マイニングプログラムに感染した後、プログラムは C&C (コマンド&コントロール) サーバーと通信して、さらなる悪意のある命令を受け取ったり、機密データを外部に漏洩させたりする可能性があります。Cloud Firewall の基本保護機能は、以下の方法でこの動作をリアルタイムで遮断します:
ネットワーク全体のプログラムデータと C&C サーバーの通信トラフィックを分析・監視し、異常な通信トラフィックを特徴付けて C&C 通信検知シグネチャを作成します。C&C 通信の変化を継続的に監視し、攻撃シグネチャを抽出することで、攻撃行動のタイムリーな検知を保証します。
過去のトラフィックアクセス情報から自動的に学習し、異常トラフィック検知モデルを構築して、未知の潜在的なマイニングプログラムに関する情報を明らかにします。
ビッグデータ可視化技術を使用して、ネットワーク全体の IP アクセス行動をプロファイリングします。また、機械学習を使用して異常な IP アドレスとアクセスドメインを発見します。その後、この情報をネットワーク全体の攻撃データと関連付けて、C&C 脅威インテリジェンスライブラリを作成します。これにより、サーバーのトラフィックをインテリジェンスと照合し、悪意のある C&C 接続をリアルタイムでブロックできます。
Cloud Firewall の 機能を有効にすると、C&C 通信を遮断できます。
主要なビジネスエリアに対する強力なアクセス制御の有効化
主要なビジネスサービスでは、インターネットに対してサービスやポートを開放する必要があることがよくあります。しかし、インターネットからのスキャンや攻撃は企業の資産に脅威をもたらし、外部アクセスに対する詳細な制御を実装することは困難な場合があります。ECS インスタンス、EIP、または内部ネットワークから開始されるアウトバウンド接続の場合、これらのアウトバウンド接続は通常、正当なアクセスであるため、宛先ドメイン名または IP アドレスの数は通常制御可能です。したがって、アウトバウンドのドメイン名または IP アクセス制御を使用することで、侵害された ECS ホストが悪意のあるドメイン名を介してマイニングトロイの木馬を埋め込んだり、C&C サーバーと通信したりするのを効果的に防ぐことができます。
Cloud Firewall は、ワイルドカードドメイン名を含む宛先ドメイン名および IP アドレスに対するアクセス制御ルールの設定をサポートしています。主要なビジネスエリアのセキュリティを確保するために、強力で詳細なOutbound アクセス制御ポリシーを設定できます。このポリシーにより、重要なビジネスポートでは特定のドメイン名または IP アドレスへのアクセスのみが許可され、他のすべてのアクセスは拒否されます。この操作により、マイニングプログラムのダウンロードと外部への拡散を効果的に防ぎ、侵入後の永続化と収益化を阻止できます。
たとえば、内部ネットワークにアウトバウンドアクセス用の IP アドレスが合計6つあり、すべての NTP (Network Time Protocol) サービスが Alibaba Cloud 製品として識別され、DNS (Domain Name System) が既知の 8.8.8.8 である場合、Cloud Firewall のセキュリティ推奨事項に従って、これらの6つの IP アドレスを許可し、他のすべての IP アクセスを拒否できます。この設定により、通常のビジネスアクセスに影響を与えることなく、悪意のあるダウンロードや C&C 通信などの他のアウトバウンド接続動作を防ぐことができます。
Cloud Firewall コンソールの ページの アウトバウンド タブで、信頼できるパブリック IP アドレスを許可し、その他すべての IP アクセスを拒否する送信アクセスコントロールポリシーを作成できます。
インターネット上での一般的なアプリケーション脆弱性の持続、ゼロデイ脆弱性の頻繁な出現、そしてマイニングによる収益化の効率の高さにより、マイニングプログラムは大規模に拡散しています。クラウドのお客様は、Cloud Firewall に透過的に接続することで、インターネット上のさまざまな悪意のある攻撃からアプリケーションを保護できます。膨大なクラウドコンピューティング能力を活用し、Cloud Firewall は最新の攻撃脅威をより迅速に検知し、ネットワーク全体の脅威インテリジェンスを活用してユーザーをマイニングプログラムの脅威から保護します。Cloud Firewall はビジネスに合わせて弾力的に拡張できるため、セキュリティに余分なリソースを割くことなく、ビジネスの拡大に集中できます。