20212021公有云安全報(bào)告

2021公有云安全報(bào)告PAGEPAGE10一、報(bào)告背景ITITIT騰訊全球數(shù)字生態(tài)大會(huì)上，騰訊副總裁丁珂指出產(chǎn)業(yè)互聯(lián)網(wǎng)讓國(guó)民經(jīng)濟(jì)更具韌性，也讓有準(zhǔn)備的企業(yè)家迎來(lái)新的機(jī)遇。產(chǎn)業(yè)上云，安全先行，在數(shù)字化升級(jí)過(guò)程中，要以戰(zhàn)略視角、產(chǎn)業(yè)視角和生態(tài)視角去看待安全，進(jìn)行前置部署?！皩?duì)于多數(shù)處于數(shù)字化轉(zhuǎn)型期的企業(yè)來(lái)說(shuō)，安全設(shè)備、研發(fā)投入、人才招聘的成本負(fù)擔(dān)很高，從零開始自建防御體系難度頗大，企業(yè)上云是應(yīng)對(duì)數(shù)字時(shí)代安全問(wèn)題的“最優(yōu)解”。騰訊在網(wǎng)絡(luò)安全耕耘20余年的經(jīng)驗(yàn)，擁有7大安全實(shí)驗(yàn)室超過(guò)3500人的專業(yè)安全團(tuán)隊(duì)。依托云原生安全思路，我們構(gòu)建了云適配的原生安全產(chǎn)品架構(gòu)，既可以有效地保障騰訊云平臺(tái)自身安全，也能讓云上企業(yè)有效降低安全運(yùn)營(yíng)門檻、提升整體的安全水位。使得公有云的政企用戶在面臨來(lái)自世界各地的網(wǎng)絡(luò)攻擊時(shí)，仍能從容應(yīng)對(duì)。本報(bào)告將2020年，針對(duì)公有云的攻擊特點(diǎn)進(jìn)行總結(jié)，幫助政企用戶更全面的掌控云上安全風(fēng)險(xiǎn)，及時(shí)采用正確的應(yīng)對(duì)措施，化解網(wǎng)絡(luò)安全威脅，讓IT平臺(tái)更好地服務(wù)業(yè)務(wù)和最終用戶。二、云上安全風(fēng)險(xiǎn)1、惡意木馬惡意木馬趨勢(shì)云上惡意木馬事件在下半年有明顯上升。圖16.35%稱）從檢出的惡意木馬統(tǒng)計(jì)可以發(fā)現(xiàn)，公有云用戶所中木馬的類型主要為感染型木馬、DDoS時(shí)，立即進(jìn)行全盤掃描，防止進(jìn)一步擴(kuò)散。圖2惡意木馬處理情況271圖3典型案例Mirai僵尸網(wǎng)絡(luò)利用ApacheHadoopYarn資源管理系統(tǒng)RESTAPI未授權(quán)訪問(wèn)漏洞入侵云主機(jī)Mirai僵尸網(wǎng)絡(luò)利用ApacheHadoopRESTAPIMiraiC&CDDoS早在2018騰云驗(yàn)室披過(guò)意件用HadoopRESTAPI授權(quán)漏洞侵礦案（ 前訊全威脅情報(bào)中心發(fā)現(xiàn)“永恒之藍(lán)”下載器木馬最新變種同樣利用該漏洞進(jìn)行攻擊傳播（ Hadoop挖礦木馬團(tuán)伙z0Miner利用Weblogic（CVE-2020-14882/14883）（2020.11.02z0Miner利用Weblogic的攻擊行動(dòng)。該團(tuán)伙通過(guò)批量掃描云服務(wù)器發(fā)現(xiàn)具有Weblogicshellz0.txtshellSSH5000臺(tái)服務(wù)器受害。Weblogic（CVE-2020-14882/14883）1021騰訊主機(jī)安全（云鏡）捕獲KaijiDDoS木馬通過(guò)SSH爆破入侵Kaiji通過(guò)22動(dòng)項(xiàng)進(jìn)行持久化，并且可根據(jù)C2DDoSMykings僵尸網(wǎng)絡(luò)新變種傳播PcShare遠(yuǎn)程控制木馬騰訊安全威脅情報(bào)中心檢測(cè)到MykingsMykingseMykings僵尸網(wǎng)絡(luò)木馬還會(huì)關(guān)閉WindowsDefender、檢測(cè)卸載常見殺毒軟件；卸載競(jìng)品挖礦木馬和舊版挖礦木馬；下載“暗云”木馬感染硬盤主引導(dǎo)記錄（MBR)實(shí)現(xiàn)長(zhǎng)期駐留；通過(guò)計(jì)劃任務(wù)、添加啟動(dòng)項(xiàng)等實(shí)現(xiàn)開機(jī)自動(dòng)運(yùn)行等行為。MyKings2017年21433DDoS（遠(yuǎn)程控制木馬、Miner（挖礦木馬、暗云III在內(nèi)的多種不同用途的惡意代碼。由于MyKings1000KH/sMykings5Muhstik僵尸網(wǎng)絡(luò)通過(guò)SSH爆破攻擊國(guó)內(nèi)云服務(wù)器IP及部分國(guó)內(nèi)IP針對(duì)國(guó)內(nèi)云服務(wù)器租戶MuhstikSSH受遠(yuǎn)程指令發(fā)起DDoSGuardMiner挖礦木馬活躍，具備蠕蟲化主動(dòng)攻擊能力GuardMiner掃描攻擊Redis、Drupal、Hadoop、Spring、thinkphp、WebLogic、SQLServer、ElasticsearchWindows和Linux腳本init.ps1，init.shLinuxSSH因挖礦守護(hù)進(jìn)程使用文件名為sysguard、sysguerd、phpguard，騰訊安全威脅情報(bào)中心將該挖礦木馬命名為GuardMiner。測(cè)并協(xié)助清除GuardMiner2、云上勒索一類是數(shù)據(jù)庫(kù)鎖庫(kù)勒索，以mysql數(shù)據(jù)庫(kù)勒索最為常見。攻擊過(guò)程通常包括3步：mysqlIP列表。mysql密碼一般是掃描root賬號(hào)，使用NMAP，xHydra，Metasploit）mysqlMysql自帶的aes另一類為入侵后下載運(yùn)行勒索病毒，主要針對(duì)Windows系統(tǒng)云主機(jī)。攻擊過(guò)程通常為4步：IPRDP3、異常登錄行為異常登錄趨勢(shì)圖4異常登錄端口統(tǒng)計(jì)爆破攻擊次數(shù)最多的端口為22，為遠(yuǎn)程登錄服務(wù)默認(rèn)端口，統(tǒng)計(jì)數(shù)據(jù)表明，該端口全年被爆破次數(shù)超過(guò)2.5億次。圖5異常登錄用戶名統(tǒng)計(jì)2020rootworkgame、administrator圖64、服務(wù)爆破行為爆破攻擊趨勢(shì)爆破攻擊在2020年有明顯上升趨勢(shì)，最近三個(gè)月則有所下降。圖7爆破攻擊端口統(tǒng)計(jì)2和8xWos32億次和17圖8爆破攻擊用戶名統(tǒng)計(jì)root、adminadministrator4000linux系統(tǒng)默認(rèn)根用戶root全年被爆破攻擊的次數(shù)超過(guò)37億次，Windows默認(rèn)用戶名administrator33常用用戶名被爆破攻擊的次數(shù)統(tǒng)計(jì)如下：圖95、漏洞風(fēng)險(xiǎn)漏洞風(fēng)險(xiǎn)趨勢(shì)在2020年12OpenSSL拒絕服務(wù)漏洞(CVE-2020-1971OpenSSL圖10有54%的企業(yè)在3天內(nèi)發(fā)現(xiàn)過(guò)漏洞風(fēng)險(xiǎn)，意味有較多企業(yè)服務(wù)組件存在安全漏洞風(fēng)險(xiǎn)而沒有及時(shí)修復(fù)。漏洞風(fēng)險(xiǎn)類型圖11主要存在的漏洞風(fēng)險(xiǎn)為OpenSSL拒絕服務(wù)漏洞(CVE-2020-1971)、Spring框架反射型文件下載漏洞和Jackson遠(yuǎn)程代碼執(zhí)行漏洞。圖12漏洞風(fēng)險(xiǎn)等級(jí)圖13漏洞利用典型案例4SHMinerApacheShiroCVE-2016-4437云鏡4SHMiner利ApacheShiroCVE-2016-4437針對(duì)云服務(wù)器的攻擊行動(dòng)。4SHMiner挖礦團(tuán)伙入侵成功后會(huì)執(zhí)行命令下載4.sh，然后下載XMRig挖礦木馬并通過(guò)Linuxservice、systemctl服務(wù)，系統(tǒng)配置文件$HOME/.profile，crontab定時(shí)任務(wù)等實(shí)現(xiàn)持久化運(yùn)行。3K/sr約1.52020.11.16至1711.2.5ApacheShiro1.2.5永恒之藍(lán)下載器木馬新增利用HadoopYarn未授權(quán)訪問(wèn)漏洞攻擊HadoopLinuxSSH2018WindowsLinuxHadoopBuleHero挖礦蠕蟲利用ApacheSolr（CVE-2019-0193）進(jìn)行攻擊騰訊安全威脅情報(bào)中心研究人員在日常巡檢中發(fā)現(xiàn)，有攻擊者利用ApacheSolr遠(yuǎn)程代碼執(zhí)行漏洞（CVE-2019-0193）對(duì)某客戶進(jìn)行攻擊，由于客戶部署的騰訊云防火墻已對(duì)該類型攻擊進(jìn)行識(shí)別并設(shè)置為“阻斷”，該攻擊事件未對(duì)客戶IT資產(chǎn)造成影響。BuleHeroSMBGhost（CVE-2020-0796）該團(tuán)伙擅長(zhǎng)利用各類Web服務(wù)器組件漏洞進(jìn)行攻擊，包括：Tomcat任意文件上傳漏ApacheWeblogicDrupalApacheSolr$IPC和MSSQL6、安全基線風(fēng)險(xiǎn)安全基線問(wèn)題趨勢(shì)圖14rootLinuxLinux15安全基線風(fēng)險(xiǎn)等級(jí)通過(guò)基線檢測(cè)，發(fā)現(xiàn)政企機(jī)構(gòu)云上業(yè)務(wù)存在高中危以上風(fēng)險(xiǎn)的達(dá)到83%，可以說(shuō)云上資產(chǎn)安全現(xiàn)狀不容樂(lè)觀。圖16安全基線風(fēng)險(xiǎn)利用典型案例Mirai僵尸網(wǎng)絡(luò)針對(duì)Linux服務(wù)器的SSH（22端口）進(jìn)行弱口令爆破攻擊Mirai僵尸網(wǎng)絡(luò)大規(guī)模攻擊Linuxx（2端口shelesl腳本，然后通過(guò)shellMiraiMiraiSSH和telnetLinuxC&CDDoS挖礦木馬BasedMiner針對(duì)MSSQL服務(wù)進(jìn)行爆破弱口令攻擊WindowsBasedMiner。MSSQLGh0st遠(yuǎn)Windows8000BasedMinerBasedMiner7、高危命令執(zhí)行執(zhí)行的高危命令主要有設(shè)置操作命令不記錄進(jìn)日志、nc命令執(zhí)行和wget下載后執(zhí)行命令等。8、網(wǎng)絡(luò)攻擊事件

圖17網(wǎng)絡(luò)攻擊指黑客從外網(wǎng)對(duì)云上主機(jī)進(jìn)行入侵攻擊，以及攻陷主機(jī)之后在內(nèi)網(wǎng)進(jìn)一步擴(kuò)散的攻擊行為。對(duì)于入侵成功的攻擊，需要及時(shí)進(jìn)行阻斷，防止淪陷。網(wǎng)絡(luò)攻擊趨勢(shì)從近三個(gè)月的趨勢(shì)來(lái)看，網(wǎng)絡(luò)攻擊整體呈上升趨勢(shì)。圖18網(wǎng)絡(luò)攻擊類型在檢測(cè)到的網(wǎng)絡(luò)攻擊事件中，主要為命令注入攻擊。圖19三、安全趨勢(shì)1、利用安全漏洞的云上攻擊持續(xù)增加2、安全基線風(fēng)險(xiǎn)日益凸顯3、定向攻擊更為普遍202010APTAPTAPT攻擊的身影。針對(duì)游戲行業(yè)的APT2020年連續(xù)發(fā)生連續(xù)震驚全行業(yè)的APT攻