"前段时间,特斯拉(Tesla)Roadster跑车被它老板旗下的另一家公司SpaceX送往了火星,这个新闻刷爆了朋友圈。有意思的是,为了让"外星人"更好了解人类,这辆Roadster在太空之旅中不停地播放David Bowie 的成名作《太空怪咖》(Space Oddity),甚至在中控台部分还用英文写着"Don't Panic"(中文翻译"别恐慌",出自道格拉斯·亚当斯被誉为"科幻圣经"的小说《银河系漫游指南》),如果一切顺利的话,这辆车会在宇宙中飞行超过10亿年。"
就是这么一个神奇老板的神奇公司,日前却遭遇了大麻烦,"科技巨头"特斯拉的 Amazon Web Service(AWS)云端服务器帐号遭到黑客入侵,一些敏感的数据因此外泄,包括:遥测数据、地图信息及车辆维修记录等。此外,黑客也趁机将这些服务器变成挖矿机,用来执行加密虚拟货币挖矿恶意程序。
究其原因,无非是服务器设定不当,加上安全防护不足,而这样的情况并非罕见。其实,以往也曾出现过多起服务器发生数据外泄或被黑成挖矿机,而企业却毫不知情的案例。如:洛杉矶时报近日被曝官网存在加密货币挖掘脚本,攻击者就是利用了配置不当的亚马逊网络服务(AWS)S3 bucket 访问了该站点,并将 Coinhive 脚本注入到程序中。
针对Tesla的此次数据泄露,亚信安全专家提醒,黑客入侵了Tesla缺乏密码保护的Kubernetes主控台,在某个Kubernetes容器包(Pod)中获取了Tesla的AWS环境下的帐号登入凭证,而该环境当中就有一个Amazon S3(Amazon Simple Storage Service)储存贮体(Bucket)内含敏感数据(如遥测数据)。黑客进入Tesla的AWS服务器,接着利用Stratum比特币挖矿协定部署了一个挖矿作业。这项作业执行了多久,以及挖了多少虚拟货币,目前并无相关报道。但可以明确的是,黑客运用了一些技巧来避开侦测并暗中执行作业,包括将恶意程序隐藏在某个CloudFlare的IP位址背后,以及尽可能压低挖矿时的CPU资源用量等。
就在该事件发生的几天前,还有一条关于JenkinsMiner的新闻也在安全圈闹得沸沸扬扬。这是一个远程登录木马程序与XMRig挖矿程序的合体,专门攻击已知的CVE-2017-1000353漏洞。据报道,该挖矿程序已从遭到感染的Windows电脑中开采到价值约300万美元的门罗币(Monero)。由于所获利益巨大,这同时也引发了"挖矿攻击"受到大量黑客追捧的热潮!
不过,黑客目前已将目标移向运算性能更强的Jenkins服务器(事实上Jenkins已在2017年4月公布并修补了这项漏洞)。Jenkins Continuous Integration目前全球约有一百万使用者,是一套开源自动化服务器,同时也是热门的开发运营(DevOps)与持续整合(CI)协调工具。
含有漏洞的服务器一旦被JenkinsMiner挖矿软件入侵,黑客就会发送一个内含两个物件的请求,其中第二个物件含有门罗币挖矿程序。如果挖矿程序部署成功,服务器性能将大受影响,严重变慢,进而无法提供服务。
亚信安全教你避免「服务器变挖矿机」的四守则
随着越来越多挖矿程序开始锁定服务器,企业机构必须预先做好适当防备,确保数据和相关资源的安全。以下是一些我们建议的四个安全守则:
-
严格管理服务器登入凭证,并且确实掌握所有用到这些凭证的第三方应用程序。
-
启用所有隐私权功能,正确设定服务器安全组态,尤其是包含敏感数据的服务器。
-
建立存取权限管制政策,务必采用适合企业和客户需求的加密保护。
-
实施并彻底执行正确的修补更新政策。
当然,亚信安全相关产品也可以轻松抵御此类攻击。亚信安全Deep Security的漏洞防护提供了虚拟补丁,来防范企业服务器和端点因未修补的漏洞而遭到攻击。
亚信安全OfficeScan的漏洞防护功能,也能在修补程序部署之前防止端点装置遭到已知及未知的漏洞攻击。
亚信安全Deep Discovery能够侦测、深入分析并主动响应漏洞攻击,利用特殊的引擎、定制化沙盒模拟分析以及密切的交叉关联分析,完整涵盖网络攻击的所有阶段,甚至不需更新引擎或病毒码就能侦测漏洞攻击。
,
