2020年公有云安全报告

1 一、报告背景 产业互联网时代，云计算 IT 架构以更简单的架构设计、更高的性价比、更灵活的系统颠覆了传统 IT 基础架构，但随着算力、IT 架构、攻防节奏、以及数据资产的不断变化，也为云上安全提出了新的挑战。 随着业务上云的兴起，安全攻防的主战场也转而上云。在腾讯全球数字生态大会上，腾讯副总裁丁珂指出，“产业互联网让国民经济更具韧性，也让有准备的企业家迎来新的机遇。产业上云，安全先行，在数字化升级过程中，要以战略视角、产业视角和生态视角去看待安全，进行前置部署。“ 对于多数处于数字化转型期的企业来说，安全设备、研发投入、人才招聘的成本负担很高，从零开始自建防御体系难度颇大，企业上云是应对数字时代安全问题的“最优解”。 腾讯在网络安全耕耘 20 余年的经验，拥有 7 大安全实验室超过 3500 人的专业安全团队。依托云原生安全思路，我们构建了云适配的原生安全产品架构，既可以有效地保障腾讯云平台自身安全，也能让云上企业有效降低安全运营门槛、提升整体的安全水位。使得公有云的政企用户在面临来自世界各地的网络攻击时，仍能从容应对。 本报告将 2020 年，针对公有云的攻击特点进行总结，帮助政企用户更全面的掌控云上安全风险，及时采用正确的应对措施，化解网络安全威胁，让 IT 平台更好地服务业务和最终用户。 2 二、云上安全风险 1、恶意木马 1.1 恶意木马趋势 云上恶意木马事件在下半年有明显上升。 图 1 从恶意木马检出结果来看，有 6.3%的公司曾在一个月内发现恶意木马事件，这一数据表明云上主机发生恶意木马入侵事件已不是小概率事件（统计学上，通常将概率低于 5%称为小概率事件。） 1.2 恶意木马类型 Top 榜 从检出的恶意木马统计可以发现，公有云用户所中木马的类型主要为感染型木马、DDoS 攻击木马和后门木马。感染型木马具有主动扩散能力，建议发现主机存在感染型木马 3 时，立即进行全盘扫描，防止进一步扩散。 图 2 1.3 恶意木马处理情况 在发现的恶意木马中，有 27%的恶意木马未及时处理，建议及时处理，防止进一步扩散。此外有 1%的病毒木马被信任，这是个值得警惕的指标，强烈建议不要轻易将恶意木马添加至信任区。 图 3 4 1.4 典型案例 Mirai 僵尸网络利用 Apache Hadoop Yarn 资源管理系统 REST API 未授权访问漏洞入侵云主机 腾讯安全威胁情报中心检测到 Mirai 僵尸网络利用 Apache Hadoop Yarn 资源管理系统 REST API 未授权访问漏洞入侵云主机，入侵传播的 Mirai 木马会通过 C&C 服务器下发命令进行 DDoS 攻击。 早在 2018 年腾讯云鼎实验室就披露过恶意软件利用 Hadoop Yarn REST API 未授权漏洞入侵挖矿的案例（https://www.freebuf.com/vuls/173638.html）。两周前，腾讯安全威胁情报中心发现“永恒之蓝”下载器木马最新变种同样利用该漏洞进行攻击传播（https://mp.weixin.qq.com/s/953ZHaf8IjLGyxB3tWSoDQ）。可见，由于运维人员在创建容器集群时缺乏安全意识，未对 Hadoop Yarn 进行安全配置，致使越来越多的黑客通过该漏洞入侵云服务器。 参考链接：https://mp.weixin.qq.com/s/IdKj2OZmVIUcj9RSERdlTQ 挖矿木马团伙 z0Miner 利用 Weblogic 未授权命令执行漏洞（CVE-2020-14882/14883）的攻击行动 腾讯主机安全（云镜）于 2020.11.02 日捕获到挖矿木马团伙 z0Miner 利用 Weblogic未授权命令执行漏洞（CVE-2020-14882/14883）的攻击行动。该团伙通过批量扫描云服务器发现具有 Weblogic 漏洞的机器，发送精心构造的数据包进行攻击。之后执行远程命令下载 shell 脚本 z0.txt 运行，再利用该 shell 脚本植入门罗币挖矿木马、挖矿任务本地持久化，以及通过爆破 SSH 横向移动。根据该团伙控制的算力推算，已有大约 5000 台服务器 5 受害。 由于 Weblogic 未授权命令执行漏洞（CVE-2020-14882/14883）10 月 21 日才被官方公布，有许多企业未来得及修复，同时该漏洞的补丁存在被绕过的风险。因此该挖矿木马可能对云主机造成较大威胁。 参考链接：https://mp.weixin.qq.com/s/cyPZpB4zkSQccViM0292Zg 腾讯主机安全（云镜）捕获 Kaiji DDoS 木马通过 SSH 爆破入侵 腾讯安全威胁情报中心在为客户提供安全巡检服务时，发现腾讯主机安全（云镜）告警SSH 爆破入侵事件，遂对事件进行溯源追查，溯源到有疑似国内黑客开发的木马 Kaiji 通过22 端口弱口令爆破入侵服务器。攻击者入侵云主机会下载二进制木马将自身安装到系统启动项进行持久化，并且可根据 C2 服务器返回的指令进行 DDoS 攻击。 参考链接：https://mp.weixin.qq.com/s/hacyPAA82rgEBivwOYhuEg Mykings 僵尸网络新变种传播 PcShare 远程控制木马 腾讯安全威胁情报中心检测到 Mykings 挖矿僵尸网络变种木马，更新后的 Mykings 会在被感染系统安装开源远程控制木马 PcShare，对受害电脑进行远程控制：可进行操作文件、服务、注册表、进程、窗口等多种资源，并且可以下载和执行指定的程序。 Mykings 僵尸网络木马还会关闭 Windows Defender、检测卸载常见杀毒软件；卸载竞品挖矿木马和旧版挖矿木马；下载“暗云”木马感染硬盘主引导记录（MBR)实现长期驻留；通过计划任务、添加启动项等实现开机自动运行等行为。 MyKings 僵尸网络最早于 2017 年 2 月左右开始出现，该僵尸网络通过扫描互联网上 1433 及其他多个端口渗透进入受害者主机，然后传播包括 DDoS、Proxy（代理服务）、RAT 6 （远程控制木马）、Miner（挖矿木马）、暗云 III 在内的多种不同用途的恶意代码。由于MyKings 僵尸网络主动扩散的能力较强，影响范围较广，对企业用户危害严重。根据门罗币钱包算力 1000KH/s 进行推测，Mykings 僵尸网络目前已控制超过 5 万台电脑进行挖矿作业。 参考链接：https://mp.weixin.qq.com/s/wZvnq6gVnEdGSH6f6oG8MA Muhstik 僵尸网络通过 SSH 爆破攻击国内云服务器 腾讯安全威胁情报中心检测到大量源自境外 IP 及部分国内 IP 针对国内云服务器租户的攻击。攻击者通过 SSH（22 端口）爆破登陆服务器，然后执行恶意命令下载 Muhstik 僵尸网络木马。该僵尸网络会控制失陷服务器执行 SSH 横向移动、下载门罗币挖矿木马和接受远程指令发起 DDoS 攻击。 腾讯安全威胁情报中心经过用户授权，对此次攻击进行溯源分析，发现国内多家知名企业的云服务器均受到该僵尸网络攻击，目前已