Cloud Firewall は、クラウド上の悪意のあるインバウンド トラフィックとアウトバウンド トラフィックをリアルタイムで検出してブロックすることにより、マイニング ワームから防御できます。このトピックでは、Cloud Firewall とセキュリティセンターを使用して、予防、検出、被害抑制の側面からマイニング ワームから防御する方法について説明します。このトピックでは、クラウドベースの環境が使用されます。
エディションの制限
Cloud Firewall
Cloud Firewall Premium Edition、Enterprise Edition、または Ultimate Edition を使用する必要があります。これらのエディションの Cloud Firewall は、マイニング ワームを検出して防御できます。Cloud Firewall Free Edition は、マイニング ワームを検出または防御できません。Cloud Firewall を使用してマイニング ワームを検出して防御するには、Premium Edition、Enterprise Edition、または Ultimate Edition を購入する必要があります。詳細については、「Cloud Firewall の購入」をご参照ください。
セキュリティセンター
セキュリティセンターでサポートされる機能は、セキュリティセンターのエディションによって異なります。詳細については、「機能と特徴」をご参照ください。
マイニング プログラムの特徴
マイニング プログラムは CPU をオーバークロックできます。これにより、大量の CPU リソースが消費され、サーバー上で実行されている他のアプリケーションに影響します。
マイニング プログラムの特徴は、コンピュータ ワームの特徴と似ています。マイニング プログラムがサーバーに侵入した後、マイニング プログラムは同じ内部ネットワークにデプロイされているサーバーに拡散します。サーバーが侵害された後、マイニング プログラムはサーバー上で永続化されます。
マイニング プログラムは複数のシステム サービスに拡散し、システムから削除するのが困難です。マイニング プログラムが繰り返し出現したり、システム コマンドが悪意のあるスクリプトに置き換えられたりする可能性があります。その結果、システムは XOR DDoS などの悪意のあるスクリプトを実行する可能性があります。マイニング プログラムの実行期間内に、サーバーからすべてのトロイの木馬と永続的な Web シェルを削除する必要があります。これにより、マイニング プログラムが今後出現するのを防ぎます。
マイニング ワームの拡散方法
Alibaba Cloud セキュリティ チームが発表した 2018 年の仮想通貨マイニング ハイジャッカー レポートによると、一般的なゼロデイ脆弱性の発生に伴い、マイニング ワームの発生が見られます。マイニング ワームはシステム リソースを占有するため、サービス中断が発生する可能性があります。Xbash などの一部のマイニング ワームは、ランサムウェアとバンドルされている場合もあります。このタイプのマイニング ワームは、企業に経済的損失とデータ損失をもたらす可能性があります。
Alibaba Cloud セキュリティ チームはマイニング プログラムを分析し、クラウド内のマイニング ワームは次のネットワークの脆弱性を悪用して拡散すると結論付けています。
一般的な脆弱性
マイニング ワームは、構成エラー、弱いパスワード、SSH、RDP (Remote Desktop Protocol)、Telnet を使用したブルートフォース攻撃など、ネットワーク アプリケーションの一般的な脆弱性を悪用して、インターネットを継続的にスキャンし、攻撃を開始し、ホストを侵害します。
ゼロデイおよび N デイ脆弱性
マイニング プログラムは、ゼロデイおよび N デイ脆弱性も悪用して、脆弱性が修正される前に多数のホストを侵害します。
マイニング ワームからの防御策
フェーズ | ソリューション | 参照資料 |
侵入前 | Cloud Firewall コンソールでアクセス制御ポリシーを構成して、信頼できるアドレスからのトラフィックのみを許可します。 | アウトバウンド アクセス制御ポリシーを作成して、信頼できるパブリック IP アドレスへのトラフィックのみを許可し、他の IP アドレスへのトラフィックを拒否できます。詳細については、「アクセス制御ポリシー」をご参照ください。 |
Cloud Firewall コンソールの脅威エンジン モード セクションでブロック モードを有効にして、マイニング アクティビティをできるだけ早くブロックします。 | ||
Cloud Firewall の侵入防御機能を使用して、攻撃トラフィックを効率的に検出してブロックします。 | ||
セキュリティセンターのアンチウイルス機能を使用して、一般的なウイルス、悪意のあるネットワーク接続、Web シェル接続を自動的にブロックします。この機能は、ECS (Elastic Compute Service)インスタンスでのマイニング アクティビティを防ぎます。 | ||
セキュリティセンター コンソールでアラートを処理します。ECS インスタンスにマイニング プログラムとマイニング プールへの接続が存在するかどうかを確認できます。 | ||
侵入中 | Cloud Firewall の侵害検知機能を使用して、マイニング ワームを検出します。 | [侵害検知] ページのイベント リストで、アウトバウンド接続を開始した特定のイベントとアドレスを確認できます。詳細については、「Cloud Firewall を使用したマイニング ワームの検出」をご参照ください。 |
侵入防御機能を使用して、侵入の被害を抑制します。 | 予防構成ページで [基本ポリシー] をオンにすることで、悪意のあるファイルのダウンロードをブロックできます。詳細については、「Cloud Firewall を使用してマイニング ワームの被害を即座に抑制する方法」をご参照ください。 | |
Cloud Firewall コンソールでアクセス制御ポリシーを作成して、マイニング プログラムの接続を拒否します。 | アウトバウンド アクセス制御ポリシーを作成して、信頼できるパブリック IP アドレスへのトラフィックのみを許可し、マイニング プールの IP アドレスへのトラフィックを [拒否] できます。 | |
ATT&CK に基づいた Cloud Firewall のベスト プラクティスを使用します。 | Cloud Firewall は、さまざまな ATT&CK ステージに対応するさまざまな機能を提供します。これらの機能には、基本的な保護、仮想パッチ、脅威インテリジェンスが含まれます。これらの機能を使用して、ネットワークのセキュリティを強化できます。詳細については、「ATT&CK に基づいた Cloud Firewall のベスト プラクティス」をご参照ください。 | |
侵入後 | セキュリティセンターを使用して、マイニング ウイルスを悪用して開始された攻撃を追跡します。 | 7 日間でマイニング ウイルスが検出されない、またはアラートが生成されない場合、マイニング ウイルスまたはトロイの木馬は削除されています。クエリ結果の詳細については、「侵害検知」をご参照ください。 |
Cloud Firewall を使用したマイニング ワームからの防御
一般的な脆弱性を悪用するマイニング ワームからの防御
一部のマイニング ワームは、SSH ブルートフォース攻撃や RDP ブルートフォース攻撃などのブルートフォース攻撃を開始します。これらのワームから防御するために、Cloud Firewall は [基本保護] 機能を提供します。この機能は、ブルートフォース攻撃を検出するための一般的な方法をサポートしています。たとえば、この機能はログイン再試行のしきい値を計算し、ログイン再試行回数がしきい値を超えた IP アドレスを制限します。また、ユーザーのアクセス習慣と頻度を分析して、動作モデルに基づいて通常のアクセス リクエストが許可され、異常なリクエストが拒否されるようにします。
この機能は、Alibaba Cloud が提供するビッグデータ機能を活用し、Alibaba Cloud セキュリティ チームによる攻撃と防御で蓄積された悪意のある攻撃サンプルに基づいて、正確な防御ルールを生成します。これにより、この機能は、Redis への crontab コマンドの書き込みやデータベースでの UDF ベースのコマンド実行など、一般的な脆弱性を悪用する他のワームからアセットを保護できます。
基本保護を有効にして、一般的な脆弱性を悪用するマイニング ワームから防御できます。基本保護を有効にするには、次の手順を実行します。
Cloud Firewall コンソール にログインします。
左側のナビゲーション ウィンドウで、 を選択します。
[インターネット境界] タブで、[脅威エンジン モード] に [ブロック - 緩和] を選択します。
タブで、[基本保護] をオンにします。
左側のナビゲーション ウィンドウで、 を選択して、[侵入防御] ページで詳細なブロック ログを表示します。
ゼロデイおよび N デイ脆弱性を悪用するマイニング ワームからの防御
一般的なゼロデイおよび N デイ脆弱性ができるだけ早く修正されない場合、これらの脆弱性はマイニング ワームによって悪用される可能性があります。Cloud Firewall は、ネットワーク全体にデプロイされたハニーポットを使用して攻撃トラフィックを分析するか、Alibaba Cloud クラウドソーシング セキュリティ テスト プラットフォームを使用して脆弱性インテリジェンスを取得します。これにより、Cloud Firewall はゼロデイおよび N デイ脆弱性を迅速に検出し、これらの脆弱性の概念実証(POC)またはエクスプロイトを取得し、事前に仮想パッチを生成できます。
仮想パッチを有効にして、ゼロデイおよび N デイ脆弱性を悪用するマイニング ワームから防御できます。仮想パッチを有効にするには、次の手順を実行します。
Cloud Firewall コンソール にログインします。
左側のナビゲーション ウィンドウで、 を選択します。
タブで、[仮想パッチ] をオンにして、リスト内の仮想パッチポリシーを表示および管理します。
Cloud Firewall を使用したマイニング ワームの検出
インターネット ファイアウォールを有効にして侵入を防いでも、ホストは依然としてマイニング ワームに対して脆弱である可能性があります。マイニング ワームは、開発マシンから VPN 経由で本番ネットワークに拡散する可能性があります。運用保守に使用されるシステム イメージと Docker イメージにマイニング ウイルスが挿入されている場合、多数のホストが侵害される可能性があります。
Cloud Firewall は、ネットワーク トラフィック分析(NTA)を使用して [侵害検知] 機能を提供します。この機能は、ホスト侵入イベントをタイムリーかつ効率的に検出できます。Cloud Firewall は、強力な脅威インテリジェンス ネットワークを使用して、一般的な仮想通貨のマイニング プール アドレスとマイニング プールの一般的な通信プロトコルを識別し、マイニング トロイの木馬のダウンロードを検出します。さらに、Cloud Firewall はホストのマイニング動作をリアルタイムで識別し、迅速にアラートを生成できます。
[侵害検知] ページで [自動ブロック] をオンにすると、Cloud Firewall がマイニング ワームを検出し、ネットワーク上のマイニング トロイの木馬とマイニング プール間の通信をブロックできます。自動ブロックをオンにするには、次の手順を実行します。
Cloud Firewall コンソール にログインします。
左側のナビゲーション ウィンドウで、 を選択します。
[侵害検知] ページで、マイニング プログラムに関連するイベントを見つけて、[操作] 列の [詳細の表示] をクリックします。
[詳細] パネルで、アウトバウンド接続を開始したアドレスを表示できます。
マイニング プログラムが検出されたサーバーにログインし、マイニング プログラムを見つけて削除します。
Cloud Firewall を使用してマイニング ワームの被害を即座に抑制する方法
ホストがマイニング ワームによって侵害された場合、Cloud Firewall は次の方法を使用して、これらのワームの拡散を防ぎ、経済的損失とデータ損失を軽減できます。これらの方法は、悪意のあるファイルのダウンロードをブロックし、コマンド アンド コントロール(C&C)サーバーとマイニング ワーム間の通信を遮断し、重要なビジネスのアクセス制御を強化することです。
悪意のあるファイルのダウンロードをブロックする
ほとんどの場合、ホストがマイニング ワームによって侵害されると、ホストは悪意のあるファイルをダウンロードします。[基本保護] は悪意のあるファイル検出と統合されており、一般的なマイニング ワームで使用される悪意のあるファイルの固有の特徴コードとファジー ハッシュを動的に更新します。マイニング ワームがホストに侵入した後、ホストは更新された悪意のあるペイロードをさらにダウンロードする可能性があります。この場合、基本保護はホストにダウンロードされたファイルのセキュリティ チェックを実行します。チェックには、ファイルの復元と特徴のマッチングが含まれます。悪意のあるファイルのダウンロードの試みが検出されると、アラートが生成され、ダウンロードがブロックされます。
悪意のあるファイルのダウンロードをブロックするには、[IPS 設定] ページの タブで 基本保護 を有効にします。
C&C サーバーとマイニング ワーム間の通信を遮断する
C&C サーバーがマイニング ワームによって侵害されると、C&C サーバーが悪意のある命令をマイニング ワームから受信したり、C&C サーバーの機密データが漏洩したりする可能性があります。この場合、基本保護は次の方法を使用して、ワームと C&C サーバー間の通信をリアルタイムで遮断します。
基本保護は、ネットワーク全体のマイニング ワームに関連するデータと C&C サーバーの通信トラフィックを動的に監視および分析します。次に、異常な通信トラフィックの特徴を動的に抽出し、マイニング ワームと C&C サーバー間の通信を識別するメカニズムを形成します。これにより、基本保護は攻撃の迅速な検出を保証します。
基本保護は履歴アクセス情報を学習し、異常なトラフィックを検出し、潜在的なマイニング ワーム情報を探索するためのモデルを確立します。
基本保護はビッグデータの可視化を使用して、アクセス動作をすべての IP アドレスにマッピングし、機械学習を使用して疑わしい IP アドレスとアクセス ドメインを検出します。さらに、ネットワーク全体の攻撃データに基づいて、C&C サーバーの脅威インテリジェンス ライブラリが形成されます。これにより、基本保護はホスト通信トラフィックをライブラリ内の情報と照合して、C&C サーバーとマイニング ワーム間の悪意のあるトラフィックをブロックします。
基本保護[IPS 構成] ページの タブで をオンにすると、C&C サーバーとマイニング ワーム間の通信を遮断できます。
重要なビジネスのアクセス制御を強化する
重要なビジネスを確保するために、企業はサービスまたはポートをインターネットに開放する必要がある場合があります。ただし、インターネットベースのスキャンと攻撃は企業のアセットにセキュリティ上の脅威をもたらすため、外部アクセスに対するきめ細かい制御が困難になります。ECS インスタンス、EIP、または内部ネットワークから開始されるアウトバウンド接続は、通常は有効です。これらのシナリオでは、ドメイン名または IP アドレスの数は制御可能です。Cloud Firewall は、これらのドメイン名と IP アドレスに対してアウトバウンド アクセス制御を実装して、侵害された ECS インスタンスに疑わしいドメイン名を使用してマイニング トロイの木馬が挿入されるのを防ぎ、トロイの木馬と C&C サーバー間の通信をブロックします。
Cloud Firewall では、ワイルドカード ドメイン名を含む、送信元 IP アドレスとドメイン名にアクセス制御ポリシーを構成できます。重要なビジネスのために、きめ細かい [アウトバウンド] アクセス制御ポリシーを構成できます。たとえば、特定のドメイン名または IP アドレスに対してのみ重要なポートを開くことができます。きめ細かいアクセス制御ポリシーは、マイニング ワームのダウンロードと拡散を効果的に防ぎます。また、ポリシーは、マイニング ワームが生き残り、悪意のある操作を引き起こすのを防ぎます。
たとえば、内部ネットワークでアウトバウンド接続に合計 6 つの IP アドレスが使用され、すべての NTP サービスが Alibaba Cloud サービスとして識別され、DNS サーバーの IP アドレスが 8.8.8.8 であるとします。この場合、Cloud Firewall が提供するセキュリティの推奨事項に基づいて、信頼できる IP アドレスから開始されるアウトバウンド接続のみを許可するポリシーを構成できます。ポリシーは、悪意のあるダウンロードやアウトバウンド C&C 接続など、他のアウトバウンド接続を防ぎ、通常のビジネス アクセスに影響を与えません。
ポリシーを構成するには、次の手順を実行します。Cloud Firewall コンソールの左側のナビゲーション ウィンドウで、 を選択します。インターネット境界で、[アウトバウンド] タブをクリックします。次に、信頼できる IP アドレスから開始されるアウトバウンド接続を許可し、他の IP アドレスから開始されるアウトバウンド接続を拒否するポリシーを構成します。
マイニング ワームは、インターネット上の一般的なアプリケーションの脆弱性の永続性、ゼロデイ脆弱性の頻発、マイニング アクティビティの非常に効率的な収益化のために、大規模に拡散します。クラウドにワークロードがデプロイされているお客様は、透過的に Cloud Firewall にアクセスして、インターネット上のさまざまな攻撃からアプリケーションを保護できます。Cloud Firewall は、強力なクラウド コンピューティング能力に依存して最新の攻撃の脅威を認識し、脅威インテリジェンス ネットワークに接続してマイニング ワームからの保護を提供します。Cloud Firewall は、ビジネスの成長に合わせてスケールアウトすることもできます。これにより、ビジネスの拡大により集中できます。