20212021公有云安全报告

2021公有云安全报告PAGEPAGE10一、报告背景ITITIT腾讯全球数字生态大会上，腾讯副总裁丁珂指出产业互联网让国民经济更具韧性，也让有准备的企业家迎来新的机遇。产业上云，安全先行，在数字化升级过程中，要以战略视角、产业视角和生态视角去看待安全，进行前置部署。“对于多数处于数字化转型期的企业来说，安全设备、研发投入、人才招聘的成本负担很高，从零开始自建防御体系难度颇大，企业上云是应对数字时代安全问题的“最优解”。腾讯在网络安全耕耘20余年的经验，拥有7大安全实验室超过3500人的专业安全团队。依托云原生安全思路，我们构建了云适配的原生安全产品架构，既可以有效地保障腾讯云平台自身安全，也能让云上企业有效降低安全运营门槛、提升整体的安全水位。使得公有云的政企用户在面临来自世界各地的网络攻击时，仍能从容应对。本报告将2020年，针对公有云的攻击特点进行总结，帮助政企用户更全面的掌控云上安全风险，及时采用正确的应对措施，化解网络安全威胁，让IT平台更好地服务业务和最终用户。二、云上安全风险1、恶意木马恶意木马趋势云上恶意木马事件在下半年有明显上升。图16.35%称）从检出的恶意木马统计可以发现，公有云用户所中木马的类型主要为感染型木马、DDoS时，立即进行全盘扫描，防止进一步扩散。图2恶意木马处理情况271图3典型案例Mirai僵尸网络利用ApacheHadoopYarn资源管理系统RESTAPI未授权访问漏洞入侵云主机Mirai僵尸网络利用ApacheHadoopRESTAPIMiraiC&CDDoS早在2018腾云验室披过意件用HadoopRESTAPI授权漏洞侵矿案（ 前讯全威胁情报中心发现“永恒之蓝”下载器木马最新变种同样利用该漏洞进行攻击传播（ Hadoop挖矿木马团伙z0Miner利用Weblogic（CVE-2020-14882/14883）（2020.11.02z0Miner利用Weblogic的攻击行动。该团伙通过批量扫描云服务器发现具有Weblogicshellz0.txtshellSSH5000台服务器受害。Weblogic（CVE-2020-14882/14883）1021腾讯主机安全（云镜）捕获KaijiDDoS木马通过SSH爆破入侵Kaiji通过22动项进行持久化，并且可根据C2DDoSMykings僵尸网络新变种传播PcShare远程控制木马腾讯安全威胁情报中心检测到MykingsMykingseMykings僵尸网络木马还会关闭WindowsDefender、检测卸载常见杀毒软件；卸载竞品挖矿木马和旧版挖矿木马；下载“暗云”木马感染硬盘主引导记录（MBR)实现长期驻留；通过计划任务、添加启动项等实现开机自动运行等行为。MyKings2017年21433DDoS（远程控制木马、Miner（挖矿木马、暗云III在内的多种不同用途的恶意代码。由于MyKings1000KH/sMykings5Muhstik僵尸网络通过SSH爆破攻击国内云服务器IP及部分国内IP针对国内云服务器租户MuhstikSSH受远程指令发起DDoSGuardMiner挖矿木马活跃，具备蠕虫化主动攻击能力GuardMiner扫描攻击Redis、Drupal、Hadoop、Spring、thinkphp、WebLogic、SQLServer、ElasticsearchWindows和Linux脚本init.ps1，init.shLinuxSSH因挖矿守护进程使用文件名为sysguard、sysguerd、phpguard，腾讯安全威胁情报中心将该挖矿木马命名为GuardMiner。测并协助清除GuardMiner2、云上勒索一类是数据库锁库勒索，以mysql数据库勒索最为常见。攻击过程通常包括3步：mysqlIP列表。mysql密码一般是扫描root账号，使用NMAP，xHydra，Metasploit）mysqlMysql自带的aes另一类为入侵后下载运行勒索病毒，主要针对Windows系统云主机。攻击过程通常为4步：IPRDP3、异常登录行为异常登录趋势图4异常登录端口统计爆破攻击次数最多的端口为22，为远程登录服务默认端口，统计数据表明，该端口全年被爆破次数超过2.5亿次。图5异常登录用户名统计2020rootworkgame、administrator图64、服务爆破行为爆破攻击趋势爆破攻击在2020年有明显上升趋势，最近三个月则有所下降。图7爆破攻击端口统计2和8xWos32亿次和17图8爆破攻击用户名统计root、adminadministrator4000linux系统默认根用户root全年被爆破攻击的次数超过37亿次，Windows默认用户名administrator33常用用户名被爆破攻击的次数统计如下：图95、漏洞风险漏洞风险趋势在2020年12OpenSSL拒绝服务漏洞(CVE-2020-1971OpenSSL图10有54%的企业在3天内发现过漏洞风险，意味有较多企业服务组件存在安全漏洞风险而没有及时修复。漏洞风险类型图11主要存在的漏洞风险为OpenSSL拒绝服务漏洞(CVE-2020-1971)、Spring框架反射型文件下载漏洞和Jackson远程代码执行漏洞。图12漏洞风险等级图13漏洞利用典型案例4SHMinerApacheShiroCVE-2016-4437云镜4SHMiner利ApacheShiroCVE-2016-4437针对云服务器的攻击行动。4SHMiner挖矿团伙入侵成功后会执行命令下载4.sh，然后下载XMRig挖矿木马并通过Linuxservice、systemctl服务，系统配置文件$HOME/.profile，crontab定时任务等实现持久化运行。3K/sr约1.52020.11.16至1711.2.5ApacheShiro1.2.5永恒之蓝下载器木马新增利用HadoopYarn未授权访问漏洞攻击HadoopLinuxSSH2018WindowsLinuxHadoopBuleHero挖矿蠕虫利用ApacheSolr（CVE-2019-0193）进行攻击腾讯安全威胁情报中心研究人员在日常巡检中发现，有攻击者利用ApacheSolr远程代码执行漏洞（CVE-2019-0193）对某客户进行攻击，由于客户部署的腾讯云防火墙已对该类型攻击进行识别并设置为“阻断”，该攻击事件未对客户IT资产造成影响。BuleHeroSMBGhost（CVE-2020-0796）该团伙擅长利用各类Web服务器组件漏洞进行攻击，包括：Tomcat任意文件上传漏ApacheWeblogicDrupalApacheSolr$IPC和MSSQL6、安全基线风险安全基线问题趋势图14rootLinuxLinux15安全基线风险等级通过基线检测，发现政企机构云上业务存在高中危以上风险的达到83%，可以说云上资产安全现状不容乐观。图16安全基线风险利用典型案例Mirai僵尸网络针对Linux服务器的SSH（22端口）进行弱口令爆破攻击Mirai僵尸网络大规模攻击Linuxx（2端口shelesl脚本，然后通过shellMiraiMiraiSSH和telnetLinuxC&CDDoS挖矿木马BasedMiner针对MSSQL服务进行爆破弱口令攻击WindowsBasedMiner。MSSQLGh0st远Windows8000BasedMinerBasedMiner7、高危命令执行执行的高危命令主要有设置操作命令不记录进日志、nc命令执行和wget下载后执行命令等。8、网络攻击事件

图17网络攻击指黑客从外网对云上主机进行入侵攻击，以及攻陷主机之后在内网进一步扩散的攻击行为。对于入侵成功的攻击，需要及时进行阻断，防止沦陷。网络攻击趋势从近三个月的趋势来看，网络攻击整体呈上升趋势。图18网络攻击类型在检测到的网络攻击事件中，主要为命令注入攻击。图19三、安全趋势1、利用安全漏洞的云上攻击持续增加2、安全基线风险日益凸显3、定向攻击更为普遍202010APTAPTAPT攻击的身影。针对游戏行业的APT2020年连续发生连续震惊全行业的APT攻