Cloud Firewall：防禦挖礦程式最佳實務

限制條件

• Cloud Firewall版本限制

  請確保您使用的是Cloud Firewall進階版、企業版或旗艦版。進階版、企業版或旗艦版才支援檢測或防禦挖礦蠕蟲，免費版不支援。您可以通過購買Cloud Firewall進階版、企業版或旗艦版來檢測或防禦挖礦蠕蟲。更多資訊，請參見購買Cloud Firewall服務。

• Security Center版本限制

  Security Center不同版本支援的功能有差異，詳細介紹，請參見功能特性。

挖礦程式的特徵

• 挖礦程式會佔用CPU進行超頻運算，導致CPU嚴重損耗，並且影響伺服器上的其他應用。

• 挖礦程式還具備蠕蟲化特點，當安全邊界被突破時，挖礦病毒會向內網滲透，並在被入侵的伺服器上持久化駐留，以擷取最大收益。

• 挖礦程式具有聯動作用，在清理過程中會存在處理不及時或清理不乾淨導致挖礦病毒反覆發生、出現惡意指令碼替換系統命令的現象，從而導致執行系統命令時觸發惡意指令碼執行（例如：xorddos）。因此，需要在挖礦程式的一個執行循環內，儘快將被入侵伺服器上的木馬程式和持續化後門清理乾淨，否則容易導致挖礦病毒頻繁複發。

挖礦蠕蟲是如何傳播

根據阿里雲安全團隊發布的《2018年雲上挖礦分析報告》顯示，過去一年中，每一波熱門0 Day漏洞出現都伴隨著挖礦蠕蟲的爆發性傳播。挖礦蠕蟲可能因為佔用系統資源導致業務中斷，甚至還有部分挖礦蠕蟲同時會捆綁勒索病毒（如XBash等），給企業帶來資金與資料的損失。

阿里雲安全團隊分析發現，雲上挖礦蠕蟲主要利用網路上普遍存在的以下漏洞進行傳播：

• 通用漏洞利用

  過去一年挖礦蠕蟲普遍會利用網路應用上廣泛存在的通用漏洞（如配置錯誤、弱密碼、SSH、RDP、Telnet爆破等），對互連網持續掃描和攻擊，以對主機進行感染。

• 0 Day、N Day漏洞利用

  0 Day、N Day在網路上未被修複的視窗期也會被挖礦蠕蟲利用，迅速進行大規模的感染。

挖礦蠕蟲防禦方案

使用Cloud Firewall防禦挖礦蠕蟲

通用漏洞的防禦

• 針對挖礦蠕蟲對SSH、RDP等進行暴力破解的攻擊方式，Cloud Firewall的基礎防禦支援常規的暴力破解檢測方式，如通過登入或試錯頻次閾值計算，對超過試錯閾值的行為進行IP限制，在您的訪問習慣、訪問頻率的基礎上，結合行為模型，保證您正常訪問不被攔截的同時對異常登入進行限制。

• 針對通用的漏洞利用方式（如利用Redis寫Crontab執行命令、資料庫UDF進行命令執行等），Cloud Firewall的基礎防禦基於阿里雲的巨量資料優勢，利用阿里雲安全在雲上攻防對抗中積累大量惡意攻擊樣本，形成精準防禦規則。

您可通過開啟Cloud Firewall的基礎防禦來防禦通用漏洞。具體操作如下：

1. 登入Cloud Firewall控制台。

2. 在左側導覽列，選擇防護配置 > IPS配置。

3. 在IPS配置頁面，定位到威脅情報地區，開啟威脅引擎運行模式開關。

4. 在進階設定地區，開啟基礎規則開關。

5. 在左側導覽列，選擇檢測響應 > 入侵防禦，在入侵防禦頁面的詳細資料列表中查看詳細的攔截日誌。

0 Day、N Day漏洞防禦

熱門0 Day、N Day漏洞修複不及時，被挖礦蠕蟲利用感染的風險較大。Cloud Firewall利用全網部署的蜜罐分析異常攻擊流量或利用阿里雲Crowdsourced Security Testing平台擷取漏洞情報，可及時發現針對0 Day、N Day的漏洞，擷取漏洞PoC或Exp，並落地形成虛擬補丁，在與駭客的攻防對抗中佔得時間先機。

您可通過開啟Cloud Firewall的虛擬補丁來防禦0 Day、N Day漏洞。具體操作如下：

1. 登入Cloud Firewall控制台。

2. 在左側導覽列，選擇防護配置 > IPS配置。

3. 在進階設定地區，開啟虛擬補丁開關，然後單擊確定。

4. 單擊開啟補丁右下方的自訂選擇，查看或管理虛擬補丁。

使用Cloud Firewall檢測挖礦蠕蟲

在與蠕蟲攻防對抗中，即使在公網邊界做好入侵防禦措施，仍有可能感染挖礦蠕蟲。例如挖礦蠕蟲可以通過VPN直接由開發機傳播到生產網；用於營運的系統鏡像、Docker鏡像已經被植入挖礦病毒，從而導致大規模感染爆發。

Cloud Firewall通過NTA（Network Traffic Analysis）能力提供失陷感知功能，能夠及時並有效發現挖礦蠕蟲感染事件。利用雲上強大的威脅情報網，Cloud Firewall可以及時發現常見貨幣的礦池地址、檢測挖礦木馬下載行為和常見礦池通訊協定，即時識別主機挖礦行為，並及時警示。

您可通過開啟Cloud Firewall失陷感知功能的一鍵防禦來檢測挖礦蠕蟲，並在網路端阻斷挖礦木馬與礦池通訊。開啟Cloud Firewall入侵檢測一鍵防禦步驟如下：

1. 登入Cloud Firewall控制台。

2. 在左側導覽列，選擇檢測響應 > 失陷感知。

3. 在失陷感知頁面，定位到列表中具體事件，單擊操作列詳情。

   您可以在事件詳情面板，查看該挖礦程式的外聯地址。

4. 登入檢測到挖礦程式的伺服器，定位到挖礦進程並進行快速清理。

入侵後如何使用Cloud Firewall快速止血

如果伺服器已感染挖礦蠕蟲，Cloud Firewall可以從惡意檔案下載阻斷、中控通訊攔截、重點業務區加強存取控制三方面控制蠕蟲進一步傳播、減少業務和資料的損失。

• 惡意檔案下載阻斷

  伺服器在感染挖礦蠕蟲後通常會進行惡意檔案下載。Cloud Firewall基礎防禦功能整合惡意檔案檢測能力，即時更新常見挖礦蠕蟲的各類惡意檔案唯一性特徵碼和檔案模糊hash，在挖礦蠕蟲入侵成功、進一步下載更新的攻擊載荷時，會對下載至伺服器的檔案在流量中進行檔案還原及特徵匹配等安全檢測，在檢測到嘗試下載惡意檔案時進行警示並攔截。

  您可以在IPS配置頁面，開啟基礎防禦開關，對惡意檔案下載進行攔截。

• 中控通訊攔截

  在感染挖礦蠕蟲後，針對挖礦蠕蟲可能和C&C控制端進行通訊，接收進一步的惡意行為指令或者向外泄露敏感性資料等，Cloud Firewall的基礎防禦功能通過以下方面對該行為進行即時攔截：

  • 通過分析和監控全網蠕蟲資料和中控伺服器通訊流量，可以對異常通訊流量特徵化，落地形成中控通訊檢測特徵，通過即時監控中控通訊變化，不斷地提取攻擊特徵，確保及時檢測到攻擊行為。

  • 通過自動學習歷史流量訪問資訊，建立異常流量檢測模型，挖掘潛在的未知挖礦蠕蟲資訊。

  • 利用巨量資料可視化技術對全網IP訪問行為關係進行畫像，利用機器學習發現異常IP及訪問域，並聯動全網攻擊資料，最終落地形成中控威脅情報庫，從而可以對伺服器流量通訊進行情報匹配，即時攔截惡意的中控串連通訊。

  您可以開啟Cloud Firewall的IPS配置 > 基礎防禦，對中控通訊進行攔截。

• 為重點業務區開啟強存取控制

  重點業務通常需要對整個互連網開放服務或連接埠，而來自互連網的掃描、攻擊會對企業的資產形成威脅，對外部的存取控制很難做到細粒度管控。而對某一台ECS、某一個EIP或內部網路主動外聯情境下，網域名稱或IP數量其實都是可控的，因為該類外聯通常都是進行合法的外聯訪問。因此通過出方向的網域名稱或IP存取控制，可有效防止ECS主機被入侵之後，利用惡意網域名稱植入挖礦木馬或木馬與C&C進行通訊等行為。

  Cloud Firewall支援對訪問來源網域名稱（含泛網域名稱）、IP地址設定存取控制規則。針對重點業務的安全問題，可以通過配置一個強粒度的內到外存取控制策略，即重要業務連接埠只允許特定網域名稱或者特定的IP進行訪問，其他一律禁止。通過該操作可以有效地杜絕挖礦蠕蟲下載、對外傳播，防止入侵後階段的維持與獲利。

  例如內網對外訪問的總IP數為6個，其中NTP全部標識為阿里雲產品，而DNS為我們所熟知的8.8.8.8，通過Cloud Firewall的安全建議，我們可以將上述6個IP進行允許存取，而對其他IP訪問進行全部拒絕。通過如上的配置，在不影響正常業務訪問的情況下，防止其他對外串連行為，如惡意下載、C&C通訊等。

  您可以在Cloud Firewall的存取控制 > 互連網邊界防火牆頁面的出向頁簽，建立出方向存取控制策略，對可信的外網IP進行允許存取，而對其他IP訪問全部拒絕。

由於互連網上持續存在的跨平台 app漏洞、0 Day漏洞的頻發，以及挖礦變現的高效率，挖礦蠕蟲大規模蔓延。雲上客戶可以透明接入Cloud Firewall，保護自身應用不受互連網上各種惡意攻擊的威脅。同時依託雲上海量的計算能力，能夠更快地感知最新的攻擊威脅、並且聯動全網的威脅情報，使使用者免於挖礦蠕蟲威脅。Cloud Firewall可以伴隨業務水平彈性擴容，讓您更多地關注業務的擴充，無需花費更多精力投入在安全上。