Cloud Firewall は、悪意のあるトラフィックをリアルタイムで検知してブロックすることで、マイニングワームから防御します。本ドキュメントでは、Cloud Firewall と Security Center を使用して、予防、検知、インシデント対応を通じてクラウド環境を保護する方法について説明します。
制限事項
-
Cloud Firewall のエディション
マイニングワームの検出と防御機能は、Cloud Firewall の Premium、Enterprise、または Ultimate エディションでのみ利用できます。詳細については、「Cloud Firewall の購入」をご参照ください。
-
Security Center のエディション
セキュリティセンターで利用可能な機能は、エディションによって異なります。詳細については、「機能」をご参照ください。
マイニングワームの拡散方法
Alibaba Cloud セキュリティチームの 2018 年クラウドクリプトマイニング分析レポートによると、ゼロデイ脆弱性の大規模な発生の後には、通常、マイニングワームの急速な大流行が続くことが判明しました。これらのワームは、システムリソースを消費することでビジネスを妨害します。XBash のように、ランサムウェアとバンドルされているものもあり、金銭的損失やデータ損失を引き起こします。
Alibaba Cloud セキュリティチームは、クラウド上のマイニングワームが主に以下の脆弱性を悪用して拡散することを発見しました。
-
一般的な脆弱性の悪用
マイニングワームは、設定ミスや脆弱なパスワードなどの一般的なアプリケーション脆弱性を悪用します。また、SSH、RDP、Telnet などのサービスに対するブルートフォース攻撃を使用して、新しいホストをスキャンし、感染させます。
-
ゼロデイ脆弱性と N デイ脆弱性の悪用
マイニングワームは、ゼロデイ脆弱性と N デイ脆弱性の発見からパッチ適用までの間のギャップを悪用し、迅速かつ大規模な感染を可能にします。
防御戦略
|
段階 |
ソリューション |
アクション |
|
予防 |
Cloud Firewall でアクセス制御ポリシーを作成し、信頼できるトラフィックのみを許可します。 |
信頼できるパブリック IP アドレスへのトラフィックを許可し、その他すべてのトラフィックを拒否するアウトバウンドアクセス制御ポリシーを作成します。詳細については、「アクセス制御ポリシー」をご参照ください。 |
|
Cloud Firewall の脅威エンジンを有効化して、マイニングアクティビティをブロックします。 |
||
|
Cloud Firewall の侵入防止機能を使用して、攻撃トラフィックを検知してブロックします。 |
||
|
Security Center のウイルス対策機能を使用して、ウイルス、悪意のある接続、Web シェルを自動的にブロックし、ECS インスタンスでのマイニングインシデントを防止します。 |
||
|
Security Center でセキュリティアラートを処理して、ECS インスタンス上のマイニングプログラムとマイニングプールとの通信を検知します。 |
||
|
検知と対応 |
Cloud Firewall の侵害検知機能を使用して、マイニングワームを迅速に検知します。 |
侵害検知 ページでは、特定のイベントと、それらが接続する外部アドレスを特定できます。詳細については、「Cloud Firewall を使用してマイニングワームを検出する」をご参照ください。 |
|
Cloud Firewall の侵入防止機能を使用して、脅威を迅速に封じ込めます。 |
悪意のあるファイルのダウンロードをブロックするには、Cloud Firewall で基本的な保護を有効にします。詳細については、「侵入後に Cloud Firewall を使用して脅威を迅速に封じ込める方法」をご参照ください。 |
|
|
Cloud Firewall のアクセス制御ポリシーを使用して、クリプトマイニング接続をブロックします。 |
信頼できるパブリック IP アドレスへのトラフィックを許可し、マイニングプールアドレスへのトラフィックのアクションを拒否に設定するアウトバウンドアクセスコントロールポリシーを作成します。 |
|
|
ATT&CK フレームワークに基づく Cloud Firewall のベストプラクティスに従います。 |
Cloud Firewall は、ATT&CK フレームワークにおけるさまざまなリスクをカバーする、基本ルール、仮想パッチ、脅威インテリジェンスなどの機能を提供します。ネットワークセキュリティを強化するために、ATT&CK フレームワークに基づく Cloud Firewall のベストプラクティスに従うことをお勧めします。 |
|
|
侵入後 |
Security Center を使用して、マイニングウイルスの攻撃元を追跡します。 |
7 日以内に関連する通信が検出されないか、アラートが生成されない場合、マイニングウイルスまたはトロイの木馬は駆除されています。クエリ結果の表示方法に関する詳細については、「侵害認識」をご参照ください。 |
Cloud Firewall によるマイニングワームに対する防御
一般的な脆弱性に対する防御
-
SSH や RDP などをターゲットとするブルートフォース攻撃から防御するため、Cloud Firewall の基本的な保護機能には、従来のブルートフォース攻撃検出機能が搭載されています。この機能は、ログイン試行と失敗のしきい値を計算し、しきい値を超えた IP アドレスをブロックします。また、お客様のアクセス習慣に基づいた行動モデルを使用して、正当なアクセスを妨げることなく異常なログインをブロックします。
-
Redis を使用して cron ジョブを書き込む、データベース UDF を使用してコマンドを実行するなどの一般的なエクスプロイトに対しては、基本保護機能が Alibaba Cloud の広範な攻撃サンプルライブラリを使用して、正確な防御ルールを作成します。
基本保護を有効化して一般的な脆弱性に対する防御を行うには、次の手順に従います。
-
Cloud Firewall コンソールにログインします。
-
左側のナビゲーションペインで、を選択します。
-
インターネットボーダー タブで、Threat Engine Mode を ブロックモード - 緩い に設定します。
-
タブで、基本的な保護 スイッチをオンにします。
-
左側のナビゲーションペインで、 を選択します。侵入防御 ページの一覧で、詳細なブロックログを確認します。
ゼロデイ脆弱性と N デイ脆弱性に対する防御
一般的なゼロデイ脆弱性と N デイ脆弱性に適時にパッチが適用されない場合、マイニングワームによる感染リスクが大幅に増加します。Cloud Firewall は、展開されたハニーポットのネットワークを使用して疑わしい攻撃トラフィックを分析し、Alibaba Cloud セキュリティクラウドソーシングプラットフォームから脆弱性インテリジェンスを収集します。このプロセスにより、エクスプロイトの適時な発見、PoC の取得、仮想パッチの作成が可能になり、攻撃者に対する重要な優位性を得ることができます。
仮想パッチを有効化して、ゼロデイ脆弱性と N デイ脆弱性に対する防御を行うことができます。これを行うには、次の手順を実行します。
-
Cloud Firewall コンソールにログインします。
-
左側のナビゲーションペインで、を選択します。
-
仮想パッチ タブで 仮想パッチ スイッチをオンにすると、リストで仮想パッチルールを表示および管理できるようになります。
この機能を有効化すると、ページの上部に、ルールの総数、有効化/無効化されたルールの数、高リスク脆弱性の数、現在ブロックされている攻撃の数などのルール統計と、ルールライブラリのバージョンが表示されます。[Risk Level]、[Attack Type]、[Attack Target]、[Status]、[Supported Engine Mode]、[Current Action] などの基準でルールをフィルタリングできます。ルールリストには、ルール ID、ルール名、CVE ID、リスクレベル、現在のアクション、ステータスなどの情報が含まれます。
Cloud Firewall によるマイニングワームの検知
パブリックネットワーク境界で強力な侵入防止対策を講じていても、システムはマイニングワームに感染する可能性があります。たとえば、マイニングワームが VPN 経由で開発マシンから本番ネットワークに拡散したり、運用に使用されるシステムイメージや Docker イメージがミルキングウイルスに事前感染している場合、大規模な感染が発生する可能性があります。
クラウドファイアウォールは、ネットワークトラフィック分析 (NTA) を利用してマイニングワームの感染を迅速かつ効果的に検出する侵害検知機能を提供します。 脅威インテリジェンスネットワークを使用して、クラウドファイアウォールはマイニングプールのアドレスを特定し、マイニングトロイの木馬のダウンロードを検出し、マイニング通信プロトコルを認識し、お客様のホストでのマイニングアクティビティに対してリアルタイムのアラートを発行します。
侵害検知 ページの ワンクリック防御 機能を使用して、マイニングワームを検出し、ネットワークレベルでマイニングトロイの木馬とマイニングプール間の通信をブロックできます。自動ブロックを有効にするには、次の手順を実行します。
-
Cloud Firewall コンソールにログインします。
-
左側のナビゲーションペインで、を選択します。
-
侵入検知 ページで、リストから特定のイベントを見つけ、操作する 列の Details をクリックします。
イベントの詳細 パネルで、マイニングプログラムが接続する外部アドレスを確認できます。
-
感染したサーバーにログインし、マイニングプロセスを特定して削除します。
脅威の迅速な封じ込め
サーバーがすでにマイニングワームに感染している場合、Cloud Firewall は、悪意のあるファイルのダウンロードをブロックし、C&C 通信を遮断し、重要なビジネスゾーンのアクセス制御を強化することで、脅威を封じ込め、ビジネスとデータの損失を最小限に抑えることができます。
-
悪意のあるファイルのダウンロードをブロック
ホストがマイニングワームに感染すると、多くの場合、追加の悪意のあるファイルをダウンロードしようとします。Cloud Firewall の 基本的な保護 機能には、悪意のあるファイルの検出が含まれています。この機能は、一般的なマイニングワームに対する固有のシグネチャとファジーハッシュのリアルタイム更新を使用します。感染したホストが新しい攻撃ペイロードをダウンロードしようとすると、Cloud Firewall はトラフィックに対してファイルの再構築やシグネチャ照合などのセキュリティチェックを実行します。悪意のあるファイルのダウンロードを検出すると、アラートを生成してダウンロードをブロックします。
IPS の設定 ページの タブで基本保護スイッチを有効にすると、悪意のあるファイルのダウンロードをブロックできます。
-
C&C 通信の遮断
ホストが感染した後、マイニングワームは、さらなる悪意のあるコマンドを受信したり、機密データを流出させたりするために、C&C サーバーと通信しようとする可能性があります。Cloud Firewall の基本保護機能は、次の方法でこの C&C 通信をリアルタイムで遮断します。
-
ネットワーク全体のワームデータと C&C サーバートラフィックを分析および監視して、異常なトラフィックのシグネチャを作成します。C&C 通信の変化を継続的に監視し、攻撃パターンを抽出して、適時な検知を確保します。
-
履歴トラフィックデータから自動的に学習して、異常なトラフィック検知モデルを構築します。これにより、潜在的な未知のマイニングワームを発見できます。
-
ビッグデータの可視化を使用して、ネットワーク全体の IP アクセス動作をプロファイリングします。機械学習を使用して異常な IP アドレスとアクセスドメインを特定し、このデータをネットワーク全体の攻撃情報と関連付け、C&C 脅威インテリジェンスライブラリを維持します。これにより、サーバートラフィックとのリアルタイムマッチングが可能になり、悪意のある C&C 接続をブロックできます。
ページで 基本的な保護 機能を有効にすることで、C&C 通信を遮断できます。
-
-
重要なビジネスゾーンに対する厳格なアクセス制御を有効化
重要なサービスは多くの場合、インターネットに公開する必要がありますが、インターネットからのスキャンや攻撃は資産に対する脅威となり、きめ細かい外部アクセス制御が困難になります。しかし、ECS インスタンス、Elastic IP アドレス、または内部ネットワークから開始されるアウトバウンド接続の場合、宛先ドメインまたは IP アドレスの数は通常、制御可能であり、正当なサービスに限定されます。アウトバウンドドメインまたは IP ベースのアクセス制御を実装することで、侵害された ECS ホストがマイニングトロイの木馬を設置したり、C&C サーバーと通信したりするのを防ぐことができます。
クラウドファイアウォールでは、宛先ドメイン名 (ワイルドカードドメインを含む) と IP アドレスに基づくアクセス制御ルールを設定できます。 重要なビジネスサービスを保護するために、厳格な 内部から外部へ アクセス制御ポリシーを設定できます。 このポリシーにより、重要なビジネスサービスは特定の宛先ドメインまたは IP アドレスにのみ接続でき、他のすべてのアウトバウンド接続は拒否されます。 このアプローチにより、マイニングワームのダウンロードと拡散を効果的に防ぎ、侵害後の永続化と収益化アクティビティを阻止します。
たとえば、内部ネットワークが合計 6 つの IP アドレスへのアウトバウンド接続を行い、NTP サービスがすべて Alibaba Cloud 製品として識別され、DNS サーバーが 8.8.8.8 のような既知のアドレスである場合、Cloud Firewall のセキュリティ推奨事項に従って、これらの 6 つの IP アドレスへのトラフィックを許可し、その他のすべてのアウトバウンド接続を拒否するポリシーを作成できます。この設定により、通常のビジネス運用に影響を与えることなく、マルウェアのダウンロードや C&C 通信などの悪意のあるアクティビティを防止します。
Cloud Firewall コンソールのページのアウトバウンドタブでは、信頼できるパブリック IP アドレスへのトラフィックを許可し、他のすべてのアウトバウンドトラフィックを拒否するアウトバウンドアクセス制御ポリシーを作成できます。
マイニングワームの大規模な拡散は、持続的なアプリケーション脆弱性、ゼロデイ脆弱性の頻繁な出現、およびクリプトマイニングによる収益化の高効率によって推進されています。Cloud Firewall をシームレスに統合して、広範なインターネットベースの攻撃からアプリケーションを保護できます。広範な計算能力とネットワーク全体の脅威インテリジェンスを使用して、新しい脅威を迅速に検知し、マイニングワームから保護します。Cloud Firewall は、ビジネスに合わせて弾力的にスケールするため、セキュリティを心配することなく成長に集中できます。