引覺得戒，特斯拉Kubernetes控制檯被黑客攻擊

摘要： 特斯拉公司慘遭「毒手」是由於其Kubernetes平臺沒有設置密碼保護。

點此查看原文：http://click.aliyun.com/m/43609/

幾個月前RedLock公司工做人員發現：數百個Kubernetes管理控制檯無需密碼便可訪問，即直接公開暴露在互聯網之上。

通過專家研究發現這些管控臺被黑客們蓄意利用從事非法「挖礦」。技術極客慘遭黑手，咱們應該如何防患於未然？

Crypto-jacking, 黑客「薅羊毛」挖礦

在特斯拉的被「挖礦」事故以前，英國國際保險公司Aviva和全球最大SIM卡製造商Gemalto也曾中招。這些公司都分別採用了兩家國際雲計算巨頭公司的公有云服務，其管控臺的訪問權限無需密碼登陸受權而直接暴露給外界，而黑客們則利用這些暴露的計算實例挖掘加密貨幣。

加密貨幣挖掘的WannaMine惡意軟件中有一個Mimikatz的工具從計算機存諸器中拉取密碼，併入侵到網絡中的其餘電腦中，隨後將所控制的計算資源「神不知鬼不覺」地挖掘一種Monero加密貨幣。不知道你們是否還記得曾經在2017年5月感染超過100個國家10萬臺電腦、引起全球恐慌的WannaCry勒索事件，彼時利用的是NSA漏洞永恆之藍；而Mimikatz工具能夠繞開對永恆之藍漏洞的依賴，逃避哪怕是已經被完善修補的電腦的檢測。

這些黑客們盜用其餘人的計算資源，挖掘加密貨幣爲本身非法牟利。目標羣體是那些高流量的大型網站，好比美國三大新聞網絡之一CBS的付費影片服務「Showtime」等發現有「挖幣」程序，會利用網頁瀏覽者們的電腦處理器資源。

有關機構曾經統計受黑客挖幣影響最嚴重的前十個國家：

特斯拉受害， Kubernetes管控臺沒有密碼保護

RedLock專家們發現特斯拉成爲受害者，黑客們潛入到了沒有密碼保護的Kubernetes管控臺。在一個Kubernetes pod裏面，盜取了Tesla的公有云環境的訪問權限，而對應公有云環境中則存放着如telemetry的敏感數據。

除了裸露的數據以外，RedLock還注意到這次攻擊中一些更爲複雜的檢測躲避手段。

• 首先，沒有使用知名的公共「礦池」。他們安裝挖礦軟件，並經過惡意腳本連接上未列出/半公共端點。其次，黑客經過CloudFlare隱藏了礦池服務器的真實IP地址，CloudFalre是一個免費的CDN服務。經過該服務得到新的IP地址。所以常見標準的基於IP或域的探測很難檢測到此類惡意行爲。
• 挖礦軟件監聽的是非標準端口，基於端口的惡意檢測也變得很困難。
• 黑客們的挖礦軟件保持「低調」，沒有形成CPU使用太高，資源的佔用不易被發現。

該怎樣保護本身的資源？

雖然特斯拉等公司採用了公有云供應商的服務，可是這個鍋也不能徹底扣在供應商頭上，畢竟是因用戶本身沒有配置密碼而致使。

阿里雲容器服務Kubernetes集羣配置了證書登陸，而且關閉了非安全的本地端口，安全係數較高。即便用戶沒有配置密碼登陸，集羣訪問也會進行證書校驗，不會形成防線一觸即潰的危局。

同時，還應該注意提升監控能力 。對配置、網絡流量、可疑的用戶行爲等進行監控。首先，研發成員可能會忽視安全組規則，公司應該檢測風險，自動地發現相關資源的建立、 決定資源上的應用程序，並根據資源和應用程序類型採用恰當的策略；Kubernetes控制檯沒有設置密碼天然會被檢測出來。其次，若是關聯了網絡流量與配置數據，特斯拉就能夠檢測到Kubernetes pod中產生的可疑流量。最後，不只要檢測基於地理位置或時間的異常，還要識別是否有異常事件。

阿里雲容器Kubernetes服務支持資源維度監控，從底層ECS到上層的Pod，service namespace等資源監控。雖然該容器平臺目前不支持用戶行爲檢測，可是能夠聯合使用阿里雲的數據風控產品。該數據風控產品由阿里聚安全提供，凝聚了阿里多年業務風控經驗，可針對性解決賬號、活動、交易等關鍵環節的欺詐威脅問題，保證正經常使用戶體驗。

此外，阿里雲雲監控針對阿里雲資源和互聯網應用的監控服務，能夠獲知CPU使用率、內存使用率、公網流出流速等系統級別基礎指標，而且根據設定的報警規則獲知異常，還支持HTTP、TCP等8種協議的站點監控及自定義監控。

參考文章

Lessons from the Cryptojacking Attack at Tesla by RedLock CSI Team

Crypto-jacking — what’s really going on inside your computer? by Open Trading Network