Cloud Firewallは、クラウド上の悪意のあるインバウンドおよびアウトバウンドトラフィックをリアルタイムで検出およびブロックすることにより、マイニングワームから防御できます。 このトピックでは、Cloud FirewallとSecurity Centerを使用して、予防、検出、および損傷管理の側面からマイニングワームを防御する方法について説明します。 このトピックでは、クラウドベースの環境を使用します。
エディション制限
Cloud Firewall
Cloud Firewall Premium Edition、Enterprise Edition、またはUltimate Editionを使用する必要があります。 これらのエディションのクラウドファイアウォールは、マイニングワームを検出して防御できます。 Cloud Firewall Free Editionは、マイニングワームを検出または防御できません。 Cloud Firewallを使用してマイニングワームを検出して防御する場合は、Premium Edition、Enterprise Edition、またはUltimate Editionを購入する必要があります。 詳細については、「Cloud Firewallの購入」をご参照ください。
Security Center
Security Centerでサポートされている機能は、Security Centerのエディションによって異なります。 詳細については、「関数と機能」をご参照ください。
鉱業プログラムの特徴
マイニングプログラムはCPUをオーバークロックする可能性があり、これは多数のCPUリソースを消費し、サーバー上で実行される他のアプリケーションに影響を与えます。
マイニングプログラムの特性は、コンピュータワームの特性に似ています。 マイニングプログラムがサーバーに侵入すると、マイニングプログラムは同じ内部ネットワークにデプロイされているサーバーに拡散します。 サーバーが危険にさらされた後、マイニングプログラムはサーバーの永続性を実現します。
ほとんどの場合、マイニングプログラムは複数のシステムサービスに広がり、システムから削除することは困難です。 マイニングプログラムが繰り返し表示され、システムコマンドが悪意のあるスクリプトに置き換えられる可能性があります。 その結果、システムはXOR DDoSなどの悪意のあるスクリプトを実行する可能性があります。 マイニングプログラムの実行期間内に、すべてのトロイの木馬と永続的なWebシェルをサーバーから削除する必要があります。 このようにして、マイニングプログラムが将来登場するのを防ぎます。
マイニングワームの拡散方法
Alibaba Cloudセキュリティチームが発表した2018 Cryptocurrency Mining Hijacker Reportは、一般的なゼロデイ脆弱性の発生にはマイニングワームの発生が伴うことを示しています。 マイニングワームはシステムリソースを占有し、サービスの中断を引き起こす可能性があります。 Xbashなどの一部のマイニングワームもランサムウェアにバンドルされている場合があります。 このタイプのマイニングワームは、企業にとって経済的およびデータ損失をもたらす可能性があります。
Alibaba Cloudセキュリティチームは、マイニングプログラムを分析し、クラウド内のマイニングワームが次のネットワーク脆弱性を悪用して拡散すると結論付けました。
一般的な脆弱性
マイニングワームは、SSH、リモートデスクトッププロトコル (RDP) 、Telnetを使用して、構成エラー、弱いパスワード、ブルートフォース攻撃などのネットワークアプリケーションの一般的な脆弱性を悪用し、インターネットを継続的にスキャンし、攻撃を開始し、ホストを侵害します。
ゼロ日およびN日の脆弱性
マイニングプログラムは、ゼロデイおよびNデイの脆弱性を悪用して、脆弱性が修正される前に多数のホストを侵害します。
マイニングワームに対する防御へのソリューション
フェーズ | 解決策 | 関連ドキュメント |
侵入前 | 信頼済みアドレスからのトラフィックのみを許可するように、Cloud Firewallコンソールでアクセス制御ポリシーを設定します。 | アウトバウンドアクセス制御ポリシーを作成して、信頼できるパブリックIPアドレスへのトラフィックのみを許可し、他のIPアドレスへのトラフィックを拒否できます。 詳細については、「アクセス制御ポリシー」をご参照ください。 |
Cloud Firewallコンソールの [Threat Engine mode] セクションでブロックモードを有効にして、マイニングアクティビティをできるだけ早くブロックします。 | ||
Cloud Firewallの侵入防止機能を使用して、攻撃トラフィックを効率的に検出およびブロックします。 | ||
Security Centerのウイルス対策機能を使用して、一般的なウイルス、悪意のあるネットワーク接続、およびWebシェル接続を自動的にブロックします。 この機能により、Elastic Compute Service (ECS) インスタンスでのマイニングアクティビティが防止されます。 | ウイルス対策機能の使用 | |
Security Centerコンソールでアラートを処理します。 ECSインスタンスにマイニングプログラムとマイニングプールへの接続が存在するかどうかを確認できます。 | ||
侵入中 | Cloud Firewallの違反認識機能を使用して、マイニングワームを検出します。 | アウトバウンド接続を開始した特定のイベントとアドレスは、[違反認識] ページのイベントリストで確認できます。 詳細については、「Cloud Firewallを使用したマイニングワームの検出」をご参照ください。 |
侵入防止機能を使用して、侵入の被害を制御します。 | [防御設定] ページで [基本ポリシー] をオンにすると、悪意のあるファイルのダウンロードをブロックできます。 詳細については、「」をご参照ください。Cloud Firewallを使用してマイニングワームの被害を即座に制御するにはどうすればよいですか? | |
Cloud Firewallコンソールでアクセス制御ポリシーを作成し、マイニングプログラムの接続を拒否します。 | アウトバウンドアクセス制御ポリシーを作成して、信頼できるパブリックIPアドレスへのトラフィックのみを許可し、マイニングプールのIPアドレスへのトラフィックを拒否することができます。 | |
ATT&CKに基づくCloud Firewallのベストプラクティスを使用します。 | Cloud Firewallは、さまざまなATT&CKステージにさまざまな機能を提供します。 機能には、基本的な保護、仮想パッチ、および脅威インテリジェンスが含まれます。 この機能を使用して、ネットワークのセキュリティを強化できます。 詳細については、「ATT&CKに基づくクラウドファイアウォールのベストプラクティス」をご参照ください。 | |
侵入後 | セキュリティセンターを使用して、マイニングウイルスを悪用した攻撃を追跡します。 | マイニングウイルスが検出されない場合、または7日以内にアラートが生成されない場合、マイニングウイルスまたはトロイの木馬は削除されます。 クエリ結果の詳細については、「違反認識」をご参照ください。 |
Cloud Firewallを使用してマイニングワームから防御する
一般的な脆弱性を悪用するマイニングワームに対する防御
一部のマイニングワームは、SSHブルートフォース攻撃やRDPブルートフォース攻撃などのブルートフォース攻撃を開始します。 これらのワームを防御するために、Cloud Firewallは基本的な保護機能を提供します。 この機能は、ブルートフォース攻撃を検出する一般的な方法をサポートします。 たとえば、この機能はログオン再試行のしきい値を計算し、ログオン再試行の回数がしきい値を超えるIPアドレスを制限します。 この機能は、ユーザーのアクセス習慣と頻度も分析して、動作モデルに基づいて通常のアクセス要求が許可され、異常な要求が拒否されるようにします。
この機能は、Alibaba Cloudが提供するビッグデータ機能を活用し、Alibaba Cloudセキュリティチームによる攻撃と防御で蓄積された悪意のある攻撃サンプルに基づいて、正確な防御ルールを生成します。 これにより、Redisへのcrontabコマンドの書き込みやデータベースでのUDFベースのコマンド実行など、一般的な脆弱性を悪用する他のワームからアセットを保護できます。
基本的な保護を有効にして、一般的な脆弱性を悪用するマイニングワームから防御できます。 基本的な保護を有効にするには、次の手順を実行します。
Cloud Firewallコンソールにログインします。
左側のナビゲーションウィンドウで、 を選択します。
[IPS設定] ページで、[脅威インテリジェンス] セクションの [脅威インテリジェンス] をオンにします。
[詳細設定] セクションで、[基本ポリシー] をオンにします。
左側のナビゲーションウィンドウで、 を選択し、[侵入防御] ページで詳細なブロックログを表示します。
ゼロデイおよびNデイの脆弱性を悪用するマイニングワームに対する防御
一般的なゼロデイおよびNデイの脆弱性が最も早い機会に修正されない場合、これらの脆弱性はマイニングワームによって悪用される可能性があります。 Cloud Firewallは、ネットワーク全体にデプロイされたハニーポットを使用して攻撃トラフィックを分析するか、Alibaba Cloud Crowdsourced Security Testing Platformを使用して脆弱性インテリジェンスを取得します。 このようにして、Cloud Firewallは、ゼロ日およびN日の脆弱性を迅速に検出し、これらの脆弱性の概念実証 (POC) または悪用を取得し、事前に仮想パッチを生成できます。
仮想パッチを有効にして、ゼロデイおよびNデイの脆弱性を悪用するマイニングワームから防御できます。 仮想パッチを有効にするには、次の手順を実行します。
Cloud Firewallコンソールにログインします。
左側のナビゲーションウィンドウで、 を選択します。
[詳細設定] セクションで、[仮想パッチ適用] をオンにし、[OK] をクリックします。
[仮想パッチ適用] の右下隅にある [設定] をクリックして、有効な仮想パッチ適用ポリシーに関する情報を表示したり、ポリシーを管理したりします。
Cloud Firewallを使用したマイニングワームの検出
侵入を防ぐためにインターネットファイアウォールが有効になっている場合でも、ホストはマイニングワームに対して脆弱である可能性があります。 マイニングワームは、VPNを介して開発マシンから本番ネットワークに広がる可能性があります。 O&Mに使用するシステムイメージとDockerイメージをマイニングウイルスで挿入すると、多数のホストが危険にさらされる可能性があります。
Cloud Firewallは、ネットワークトラフィック分析 (NTA) を使用して違反認識機能を提供します。 この機能により、ホストの侵入イベントをタイムリーかつ効率的に検出できます。 Cloud Firewallは、強力な脅威インテリジェンスネットワークを使用して、一般的な暗号通貨のマイニングプールアドレスとマイニングプールの一般的な通信プロトコルを識別し、マイニングトロイの木馬のダウンロードを検出します。 さらに、Cloud Firewallは、ホストのマイニング動作をリアルタイムで識別し、アラートを迅速に生成できます。
[違反認識] ページで [自動ブロック] をオンにすると、Cloud Firewallがマイニングワームを検出し、ネットワーク上のマイニングトロイの木馬とマイニングプール間の通信をブロックできるようになります。 自動ブロッキングをオンにするには、次の手順を実行します。
Cloud Firewallコンソールにログインします。
左側のナビゲーションウィンドウで、 を選択します。
[違反認識] ページで、マイニングプログラムに関連するイベントを見つけ、[操作] 列の [詳細の表示] をクリックします。
アウトバウンド接続を開始したアドレスは、detailsパネルで確認できます。
マイニングプログラムが検出されたサーバーにログインし、マイニングプログラムを検索してプログラムを削除します。
Cloud Firewallを使用してマイニングワームの被害を即座に制御するにはどうすればよいですか?
ワームのマイニングによってホストが侵害された場合、Cloud Firewallは次の方法を使用してこれらのワームの拡散を防ぎ、経済的およびデータの損失を減らすことができます。 この方法では、悪意のあるファイルのダウンロードをブロックし、コマンド&コントロール (C&C) サーバーとマイニングワーム間の通信を遮断し、重要なビジネスのアクセス制御を強化します。
悪意のあるファイルのダウンロードをブロックする
ほとんどの場合、ワームのマイニングによってホストが侵害された後、ホストは悪意のあるファイルをダウンロードします。 基本的な保護は悪意のあるファイル検出と統合され、一般的なマイニングワームによって使用される悪意のあるファイルの固有の特性コードとファジーハッシュを動的に更新します。 マイニングワームがホストに侵入した後、ホストは更新された悪意のあるペイロードをさらにダウンロードする可能性があります。 この場合、基本的な保護は、ホストにダウンロードされたファイルに対してセキュリティチェックを実行します。 チェックには、ファイル復元と特性マッチングが含まれます。 悪意のあるファイルをダウンロードする試みが検出されると、アラートが生成され、ダウンロードはブロックされます。
[IPS設定] ページで基本ポリシーをオンにして、悪意のあるファイルのダウンロードをブロックできます。
C&Cサーバーとマイニングワーム間の通信を遮断する
マイニングワームによってC&Cサーバーが侵害された後、C&Cサーバーはマイニングワームから悪意のある指示を受けたり、C&Cサーバーの機密データが漏洩したりする可能性があります。 この場合、基本的な保護は、次の方法を使用して、ワームとC&Cサーバー間の通信をリアルタイムで遮断します。
基本的な保護は、ネットワーク全体のマイニングワームとC&Cサーバーの通信トラフィックに関連するデータを動的に監視および分析します。 次に、基本保護は、異常な通信トラフィックの特性を動的に抽出し、マイニングワームとC&Cサーバーとの間の通信を識別するメカニズムを形成します。 このように、基本的な保護は攻撃の迅速な検出を保証します。
基本保護は、履歴アクセス情報を学習し、異常なトラフィックを検出し、潜在的なマイニングワーム情報を調査するモデルを確立します。
基本的な保護は、ビッグデータの視覚化を使用してすべてのIPアドレスにアクセス動作をマッピングし、機械学習を使用して疑わしいIPアドレスとアクセスドメインを検出します。 さらに、ネットワーク全体の攻撃データに基づいて、C&Cサーバー用の脅威インテリジェンスライブラリが作成されます。 このように、基本的な保護は、ホスト通信トラフィックをライブラリ内の情報と照合して、C&Cサーバーとマイニングワーム間の悪意のあるトラフィックをブロックします。
[IPS設定] ページの [基本保護] セクションで をオンにして、C&Cサーバーとマイニングワーム間の通信を遮断できます。
重要なビジネスのためのアクセス制御の強化
重要なビジネスを確保するために、企業はインターネットへのサービスまたはポートを開く必要があります。 ただし、インターネットベースのスキャンと攻撃は、企業の資産にセキュリティ上の脅威をもたらし、外部アクセスのきめ細かな制御が困難になります。 通常、ECSインスタンス、elastic IPアドレス、または内部ネットワークから開始されるアウトバウンド接続は有効です。 これらのシナリオでは、ドメイン名またはIPアドレスの数を制御できます。 Cloud Firewallは、これらのドメイン名とIPアドレスにアウトバウンドアクセス制御を実装して、疑わしいドメイン名を使用してトロイの木馬が侵害されたECSインスタンスに挿入されるのを防ぎ、トロイの木馬とC&Cサーバー間の通信をブロックします。
Cloud Firewallでは、ワイルドカードドメイン名を含む送信元IPアドレスとドメイン名のアクセス制御ポリシーを設定できます。 重要なビジネスでは、詳細なアウトバウンドアクセス制御ポリシーを設定できます。 たとえば、特定のドメイン名またはIPアドレスに対してのみ重要なポートを開くことができます。 きめ細かいアクセス制御ポリシーは、マイニングワームのダウンロードと拡散を効果的に防止します。 ポリシーはまた、マイニングワームが生き残り、悪意のあるアクションを誘発するのを防ぎます。
たとえば、内部ネットワークのアウトバウンド接続には合計6つのIPアドレスが使用され、すべてのNTPサービスはAlibaba Cloudサービスとして識別され、DNSサーバーのIPアドレスは8.8.8.8です。 この場合、Cloud Firewallが提供するセキュリティ提案に基づいて、6つのIPアドレスからのアウトバウンド接続のみを許可するようにポリシーを設定できます。 ポリシーは、通常のビジネスアクセスに影響を与えることなく、悪意のあるダウンロードやアウトバウンドC&C接続などの他のアウトバウンド接続を防ぎます。
ポリシーを設定するには、次の手順を実行します。Cloud Firewallコンソールの左側のナビゲーションウィンドウで、 を選択します。 インターネットボーダーで、[アウトバウンド] タブをクリックします。 次に、信頼できるIPアドレスから開始されるアウトバウンド接続を許可し、他のIPアドレスから開始されるアウトバウンド接続を拒否するようにポリシーを構成します。
マイニングワームは、インターネット上の一般的なアプリケーションの脆弱性の持続、ゼロデイの脆弱性の頻繁な発生、およびマイニング活動の非常に効率的な収益化のために、大規模に広がりました。 ワークロードがクラウドにデプロイされているお客様は、cloud Firewallに透過的にアクセスして、インターネット上のさまざまな攻撃からアプリケーションを保護できます。 Cloud Firewallは、強力なクラウドコンピューティング能力を利用して最新の攻撃脅威を認識し、脅威インテリジェンスネットワークに接続してマイニングワームに対する保護を提供します。 クラウドファイアウォールは、ビジネスの成長に合わせてスケールアウトすることもできます。 これにより、ビジネスの拡大に集中できます。