Alibaba ECS インスタンスをハイジャックする大勢の暗号マイナーたち

Alibaba ECS instances actively hijacked by cryptomining malware

2021/11/15 BleepingComputer — Alibaba Elastic Computing Service (ECS) インスタンスを乗っ取り、クリプトマイナー・マルウェアをインストールし、サーバー・リソースを利用して利益を得ようとする脅威行為が発生している。Alibaba は、グローバル市場で活躍する中国の大手テクノロジー企業であり、同社のクラウド・サービスは主に東南アジアで利用されている。

特に ECS サービスは、高速なメモリ/インテル製CPU/低遅延な運用を約束するサービスとして提供されている。さらに、暗号解読などのマルウェアから保護するために、ECS にはあらかじめセキュリティ・エージェントがインストールされている。

ECS のセキュリティ・エージェントを削除するハッカーたち

Trend Micro のレポートによると、Alibaba ECS の問題点として、インスタンスに設定されている特権レベルに違いがなく、はすべてのインスタンスに対してデフォルトで root アクセスが提供されているようだ。それにより、ログイン認証情報にアクセスした脅威アクターは、何の準備作業 (都県昇格) もせずに、root として SSH 経由でサーバーにアクセスできる。

同レポートでは、「脅威アクターが得た権限により、脆弱性の悪用/設定ミスの問題/脆弱な認証情報/データの漏洩などの、侵害された際に実行できるものは広範囲におよぶ」と説明している。さらに、この昇格した特権により脅威アクターは、すでにインストールされているセキュリティ・エージェントにより不審な動作を検出されないように、Alibaba の内部サーバーに属する IP レンジからの、受信パケットをドロップするためのファイアウォール・ルールを作成し、そのエージェントを停止させるスクリプトを実行する。

昇格した特権により、カーネル・モジュール・ルートキットや、クリプトジャッキング・マルウェアを容易に仕掛けられることを考えると、複数の脅威アクターが Alibaba Cloud ECS インスタンスの乗っ取りを競い合うのは当然のことだ。Trend Micro では、不正プログラムやバックドアが頻繁に使用する特定ポートで実行されているプロセスを探し、競合する不正プログラムを除去するスクリプトも確認している。

ECS のもう1つの機能として、ユーザーのリクエスト量に応じてコンピューティング・リソースを自動的に調整するオートスケーリング・システムがある。これは、突然のトラフィック負荷上昇によるサービスの中断/不調を防ぐためのものだが、暗号ジャッカーにとってはチャンスでもある。対象となるアカウントで有効になっているときに、これを悪用することで、行為者は Monero のマイニングパワーを拡大し、インスタンス所有者は追加コストを負わされることになる。

請求サイクルが月単位であることを考えると、被害者が問題に気付いて行動を起こすまでに時間がかかるというのが、最悪のシナリオである。オートスケーリングが利用できない場合には、マイナーが利用可能な CPU パワーを利用することで、速度低下が直接的かつ顕著に現れるという。

すべてのクラウドサービスを吟味すべき

Alibaba ECS は、Docker や Huawei Cloud などのクラウドサービスが、暗号解読者に狙われているケースの1つである。Trend Micro は、Alibaba に対して調査結果を通知しましたが、まだ回答は得られていない。

Alibaba のクラウドサービスを利用している場合には、セキュリティ設定が正しく行われていることを確認し、ベストプラクティスに従ってほしい。さらに、root 権限でアプリを実行することを避け、アクセスには暗号鍵を使用し、最小権限の原則に従うべきだ。

ECS の場合、内蔵されているマルウェア対策だけでは不十分であるため、クラウド環境上でマルウェアや脆弱性を検知する、第2のレイヤを追加することが、標準的なセキュリティ対策の一環となるはずだ。

ハッカー同士が、Alibaba Elastic Computing Service (ECS) のリソースを奪い合うという、ちょっと信じられない状況のようです。それだけ、簡単にハイジャックできるということなのでしょう。クラウドが普及してから、何年が過ぎたのか分かりませんが、シェアの奪い合いの影で、セキュリティが軽視されてきたのは間違いありませんね。

%d bloggers like this: