虛擬機登入憑證設定不當駭客侵入成為虛擬幣礦場

雲端參數調教工作坊系列報導

這篇文章將深入剖析一起嚴重的雲端安全事件：分析駭客集團如何利用雲端虛擬機登入憑證配置漏洞，竊取企業資源，並將其轉化為私有加密貨幣礦場。

文／果核數位雲端實驗室

雲端運算已成為許多企業和組織的關鍵基礎設施，為他們提供可擴展性、靈活性和成本效益的解決方案。然而，隨著雲端環境的普及，駭客集團也開始將目標移轉到雲端，利用雲端資安的弱點來從事各種惡意活動，從竊取資料與網路間諜活動，到分散式阻斷服務攻擊（DDoS）攻擊等等。

近期，更出現了利用雲端資源進行加密貨幣挖礦的惡意活動。駭客集團透過暴力破解、漏洞攻擊或竊取登入憑證等方式，非法入侵雲端虛擬機。一旦主機被入侵，駭客就能肆無忌憚地利用您的雲端資源，用於高強度運算的加密貨幣挖礦，導致系統性能下降、成本增加，甚至面臨服務中斷的風險。

內容目錄 隱藏

案例背景

結語

案例背景

此案例客戶將應用程式部署至雲端，以提高可擴展性和靈活度，他們在雲端環境上建立了可自動擴展的雲端虛擬機，運行他們的應用程式。為了簡化管理，將所有雲端虛擬機設定為相同的登入憑證，此舉卻無意中為駭客打開了任意門。

[ 加入 CIO Taiwan 官方 LINE 與 Facebook ，與全球 CIO 同步獲取精華見解 ]

駭客集團利用弱密碼成功入侵其中一台主機後，便能輕易地橫向移動，控制整個雲端虛擬機環境。隨後，他們在多台主機上安裝了加密貨幣挖礦軟體，利用虛擬機的 CPU 資源進行挖礦活動。

事件分析過程

駭客集團持續在企業雲端環境中進行挖礦活動，導致系統資源被大量佔用。這不僅使得其他應用程式的運行速度緩慢，影響用戶體驗，更造成雲端資源的浪費，進而導致企業雲端服務費用大幅攀升。

當用戶收到每月的雲端對帳單，發現每月的帳單金額持續的增加，檢視近期三個月對帳單明細，雲端虛擬機費用項目與過往相比，出現顯著的差異，費用出現明顯攀升，立即與雲 MSP 服務商（雲託管商）聯繫，表達對帳單的疑慮並請求展開調查分析。

[推薦文章：避免雲端主機淪為跳板收到公有雲鉅額帳單 ]

由於客戶雲端環境僅啟用基本監控，MSP 服務商資安架構師透過分析監控數據，發現半夜時段虛擬機 CPU 負載異常升高，進一步分析監控數據和系統日誌，發現有特定程式在每天凌晨 1 點自動啟動並於 6 點自動關閉，且系統日誌顯示有不明 IP 位址在該時間段內執行了多條遠端命令，疑似為駭客入侵的痕跡。
在確認特定程式為加密貨幣挖礦程式後，當下便緊急處置三項措施，並隨後與客戶討論後續的建議與防範措施。

關閉遠端 SSH 存取控制
更換雲端虛擬機登入憑證
移除加密貨幣挖礦程式

為什麼會發生雲端挖礦

雲端挖礦是指利用雲端上虛擬機執行加密貨幣挖礦程式，這些虛擬機通常具有強大的運算能力，可以加速挖礦過程，駭客集團經常利用錯誤配置和軟體漏洞未經授權地利用雲端虛擬機資源執行挖礦，並將挖礦產生的收益轉移到駭客的錢包，主要原因有以下：

雲端資源算力強大：雲端服務商提供了彈性且可擴展的運算資源，駭客可以駭入並盜用這些雲端虛擬機運算資源來進行挖礦。
安全防護不足：部分用戶的安全意識不足或為了便於管理，未採取足夠的安全措施，導致虛擬機被駭客入侵，如本案例所有虛擬機設定為相同的登入憑證。
挖礦軟體易於取得：網路上有許多免費或開源的挖礦軟體，降低了駭客的技術門檻。
加密貨幣價格波動：當加密貨幣價格上漲時，挖礦的收益也會增加，進一步刺激駭客進行挖礦活動。

AWS EC2 虛擬機的存取訪問設定建議

SSH Firewall 規則設定要嚴謹
EC2 允許 SSH 流量來源設定要定義出來源範圍（Custom），不可為 Anywhere 0.0.0.0/0，這代表 Internet 上的任何人都可以遠端 SSH 登入你的雲虛擬機。（見圖一）

EC2 虛擬機不要配置外部 IP
不要配置外部 IP 位址給 EC2 虛擬機，減少公開暴露的風險。（見圖二）

透過 Systems Manager 管理和存取 EC2
當管理大規模雲端虛擬機（EC2）環境時，為了確保系統安全性與管理效率，建議透過 Systems Manager 管理和訪問 EC2，將 EC2 與 Systems Manager IAM 角色關聯，並安裝 SSM Agent，讓 Systems Manager 來管理和存取 EC2。（見圖三）