阿里云ECS被加密貨幣挖礦惡意軟件劫持

Alibaba ECS實例被劫持用于進行加密貨幣挖礦。

為保護ECS的安全，ECS都預裝了安全代理。因此，攻擊者一般會嘗試卸載惡意軟件。研究人員在該惡意軟件中發現了可以創建防火墻規則來丟棄來自屬于阿里IP單位的包的代碼。

此外，研究人員還發現發現對同一個ECS實例，阿里云ECS服務器沒有配置不同的權限等級，所有的實例都默認具有root權限。而其他云服務提供商都提供了包含不允許通過用戶名和密碼登錄只允許非對稱加密認證在內的最小權限。

因此，攻擊者成功入侵ECS實例后就有了最高的權限，包括漏洞利用、錯誤配置、弱憑證、數據泄露等。此外，還可以部署kernel模塊rootkit等高級payload、通過運行系統服務來實現駐留等。因此，有多個攻擊者攻擊阿里云ECS實例。

加密貨幣挖礦

加密貨幣挖礦惡意軟件只在阿里云ECS中運行時，安裝的安全代理就會發送惡意腳本正在運行的通知。然后用戶負責阻止感染和其他惡意活動。阿里云提供了如何操作的指南，但是這些具體的操作都是由用戶來操作實現的，也是用戶的負責預防感染發生。

從另外一個惡意軟件樣本中可以看出，安全代理在觸發系統被入侵的安全警告前就被卸載了。然后惡意軟件樣本會安裝XMRig挖礦機。

需要注意的是阿里云ECS有一個自動擴展的功能，用戶或企業可以根據用戶請求量的大小自動調整計算資源。用戶請求增加時，自動擴展功能就會讓ECS實例根據策略應答更多的請求。加密貨幣挖礦機會導致用戶的計算資源迅速擴展，引發額外的費用。

研究人員從攻擊阿里云的惡意軟件樣本分析發現，這些樣本與攻擊華為云的惡意軟件樣本具有很多相似之處。