20212021公有云安全報告

2021公有云安全報告PAGEPAGE10一、報告背景ITITIT騰訊全球數(shù)字生態(tài)大會上，騰訊副總裁丁珂指出產業(yè)互聯(lián)網(wǎng)讓國民經(jīng)濟更具韌性，也讓有準備的企業(yè)家迎來新的機遇。產業(yè)上云，安全先行，在數(shù)字化升級過程中，要以戰(zhàn)略視角、產業(yè)視角和生態(tài)視角去看待安全，進行前置部署。“對于多數(shù)處于數(shù)字化轉型期的企業(yè)來說，安全設備、研發(fā)投入、人才招聘的成本負擔很高，從零開始自建防御體系難度頗大，企業(yè)上云是應對數(shù)字時代安全問題的“最優(yōu)解”。騰訊在網(wǎng)絡安全耕耘20余年的經(jīng)驗，擁有7大安全實驗室超過3500人的專業(yè)安全團隊。依托云原生安全思路，我們構建了云適配的原生安全產品架構，既可以有效地保障騰訊云平臺自身安全，也能讓云上企業(yè)有效降低安全運營門檻、提升整體的安全水位。使得公有云的政企用戶在面臨來自世界各地的網(wǎng)絡攻擊時，仍能從容應對。本報告將2020年，針對公有云的攻擊特點進行總結，幫助政企用戶更全面的掌控云上安全風險，及時采用正確的應對措施，化解網(wǎng)絡安全威脅，讓IT平臺更好地服務業(yè)務和最終用戶。二、云上安全風險1、惡意木馬惡意木馬趨勢云上惡意木馬事件在下半年有明顯上升。圖16.35%稱）從檢出的惡意木馬統(tǒng)計可以發(fā)現(xiàn)，公有云用戶所中木馬的類型主要為感染型木馬、DDoS時，立即進行全盤掃描，防止進一步擴散。圖2惡意木馬處理情況271圖3典型案例Mirai僵尸網(wǎng)絡利用ApacheHadoopYarn資源管理系統(tǒng)RESTAPI未授權訪問漏洞入侵云主機Mirai僵尸網(wǎng)絡利用ApacheHadoopRESTAPIMiraiC&CDDoS早在2018騰云驗室披過意件用HadoopRESTAPI授權漏洞侵礦案（ 前訊全威脅情報中心發(fā)現(xiàn)“永恒之藍”下載器木馬最新變種同樣利用該漏洞進行攻擊傳播（ Hadoop挖礦木馬團伙z0Miner利用Weblogic（CVE-2020-14882/14883）（2020.11.02z0Miner利用Weblogic的攻擊行動。該團伙通過批量掃描云服務器發(fā)現(xiàn)具有Weblogicshellz0.txtshellSSH5000臺服務器受害。Weblogic（CVE-2020-14882/14883）1021騰訊主機安全（云鏡）捕獲KaijiDDoS木馬通過SSH爆破入侵Kaiji通過22動項進行持久化，并且可根據(jù)C2DDoSMykings僵尸網(wǎng)絡新變種傳播PcShare遠程控制木馬騰訊安全威脅情報中心檢測到MykingsMykingseMykings僵尸網(wǎng)絡木馬還會關閉WindowsDefender、檢測卸載常見殺毒軟件；卸載競品挖礦木馬和舊版挖礦木馬；下載“暗云”木馬感染硬盤主引導記錄（MBR)實現(xiàn)長期駐留；通過計劃任務、添加啟動項等實現(xiàn)開機自動運行等行為。MyKings2017年21433DDoS（遠程控制木馬、Miner（挖礦木馬、暗云III在內的多種不同用途的惡意代碼。由于MyKings1000KH/sMykings5Muhstik僵尸網(wǎng)絡通過SSH爆破攻擊國內云服務器IP及部分國內IP針對國內云服務器租戶MuhstikSSH受遠程指令發(fā)起DDoSGuardMiner挖礦木馬活躍，具備蠕蟲化主動攻擊能力GuardMiner掃描攻擊Redis、Drupal、Hadoop、Spring、thinkphp、WebLogic、SQLServer、ElasticsearchWindows和Linux腳本init.ps1，init.shLinuxSSH因挖礦守護進程使用文件名為sysguard、sysguerd、phpguard，騰訊安全威脅情報中心將該挖礦木馬命名為GuardMiner。測并協(xié)助清除GuardMiner2、云上勒索一類是數(shù)據(jù)庫鎖庫勒索，以mysql數(shù)據(jù)庫勒索最為常見。攻擊過程通常包括3步：mysqlIP列表。mysql密碼一般是掃描root賬號，使用NMAP，xHydra，Metasploit）mysqlMysql自帶的aes另一類為入侵后下載運行勒索病毒，主要針對Windows系統(tǒng)云主機。攻擊過程通常為4步：IPRDP3、異常登錄行為異常登錄趨勢圖4異常登錄端口統(tǒng)計爆破攻擊次數(shù)最多的端口為22，為遠程登錄服務默認端口，統(tǒng)計數(shù)據(jù)表明，該端口全年被爆破次數(shù)超過2.5億次。圖5異常登錄用戶名統(tǒng)計2020rootworkgame、administrator圖64、服務爆破行為爆破攻擊趨勢爆破攻擊在2020年有明顯上升趨勢，最近三個月則有所下降。圖7爆破攻擊端口統(tǒng)計2和8xWos32億次和17圖8爆破攻擊用戶名統(tǒng)計root、adminadministrator4000linux系統(tǒng)默認根用戶root全年被爆破攻擊的次數(shù)超過37億次，Windows默認用戶名administrator33常用用戶名被爆破攻擊的次數(shù)統(tǒng)計如下：圖95、漏洞風險漏洞風險趨勢在2020年12OpenSSL拒絕服務漏洞(CVE-2020-1971OpenSSL圖10有54%的企業(yè)在3天內發(fā)現(xiàn)過漏洞風險，意味有較多企業(yè)服務組件存在安全漏洞風險而沒有及時修復。漏洞風險類型圖11主要存在的漏洞風險為OpenSSL拒絕服務漏洞(CVE-2020-1971)、Spring框架反射型文件下載漏洞和Jackson遠程代碼執(zhí)行漏洞。圖12漏洞風險等級圖13漏洞利用典型案例4SHMinerApacheShiroCVE-2016-4437云鏡4SHMiner利ApacheShiroCVE-2016-4437針對云服務器的攻擊行動。4SHMiner挖礦團伙入侵成功后會執(zhí)行命令下載4.sh，然后下載XMRig挖礦木馬并通過Linuxservice、systemctl服務，系統(tǒng)配置文件$HOME/.profile，crontab定時任務等實現(xiàn)持久化運行。3K/sr約1.52020.11.16至1711.2.5ApacheShiro1.2.5永恒之藍下載器木馬新增利用HadoopYarn未授權訪問漏洞攻擊HadoopLinuxSSH2018WindowsLinuxHadoopBuleHero挖礦蠕蟲利用ApacheSolr（CVE-2019-0193）進行攻擊騰訊安全威脅情報中心研究人員在日常巡檢中發(fā)現(xiàn)，有攻擊者利用ApacheSolr遠程代碼執(zhí)行漏洞（CVE-2019-0193）對某客戶進行攻擊，由于客戶部署的騰訊云防火墻已對該類型攻擊進行識別并設置為“阻斷”，該攻擊事件未對客戶IT資產造成影響。BuleHeroSMBGhost（CVE-2020-0796）該團伙擅長利用各類Web服務器組件漏洞進行攻擊，包括：Tomcat任意文件上傳漏ApacheWeblogicDrupalApacheSolr$IPC和MSSQL6、安全基線風險安全基線問題趨勢圖14rootLinuxLinux15安全基線風險等級通過基線檢測，發(fā)現(xiàn)政企機構云上業(yè)務存在高中危以上風險的達到83%，可以說云上資產安全現(xiàn)狀不容樂觀。圖16安全基線風險利用典型案例Mirai僵尸網(wǎng)絡針對Linux服務器的SSH（22端口）進行弱口令爆破攻擊Mirai僵尸網(wǎng)絡大規(guī)模攻擊Linuxx（2端口shelesl腳本，然后通過shellMiraiMiraiSSH和telnetLinuxC&CDDoS挖礦木馬BasedMiner針對MSSQL服務進行爆破弱口令攻擊WindowsBasedMiner。MSSQLGh0st遠Windows8000BasedMinerBasedMiner7、高危命令執(zhí)行執(zhí)行的高危命令主要有設置操作命令不記錄進日志、nc命令執(zhí)行和wget下載后執(zhí)行命令等。8、網(wǎng)絡攻擊事件

圖17網(wǎng)絡攻擊指黑客從外網(wǎng)對云上主機進行入侵攻擊，以及攻陷主機之后在內網(wǎng)進一步擴散的攻擊行為。對于入侵成功的攻擊，需要及時進行阻斷，防止淪陷。網(wǎng)絡攻擊趨勢從近三個月的趨勢來看，網(wǎng)絡攻擊整體呈上升趨勢。圖18網(wǎng)絡攻擊類型在檢測到的網(wǎng)絡攻擊事件中，主要為命令注入攻擊。圖19三、安全趨勢1、利用安全漏洞的云上攻擊持續(xù)增加2、安全基線風險日益凸顯3、定向攻擊更為普遍202010APTAPTAPT攻擊的身影。針對游戲行業(yè)的APT2020年連續(xù)發(fā)生連續(xù)震驚全行業(yè)的APT攻