虛擬機登入憑證設定不當駭客侵入成為虛擬幣礦場

2025/03/06

雲端運算已成為許多企業和組織的關鍵基礎設施，為他們提供可擴展性、靈活性和成本效益的解決方案。然而，隨著雲端環境的普及，駭客集團也開始將目標移轉到雲端，利用雲端資安的弱點來從事各種惡意活動，從竊取資料與網路間諜活動，到分散式阻斷服務攻擊（DDoS）攻擊等等。近期，更出現了利用雲端資源進行加密貨幣挖礦的惡意活動。駭客集團透過暴力破解、漏洞攻擊或竊取登入憑證等方式，非法入侵雲端虛擬機。一旦主機被入侵，駭客就能肆無忌憚地利用您的雲端資源，用於高強度運算的加密貨幣挖礦，導致系統性能下降、成本增加，甚至面臨服務中斷的風險。

案例背景

此案例客戶將應用程式部署至雲端，以提高可擴展性和靈活度，他們在雲端環境上建立了可自動擴展的雲端虛擬機，運行他們的應用程式。為了簡化管理，將所有雲端虛擬機設定為相同的登入憑證，此舉卻無意中為駭客打開了任意門。 [ 加入 CIO Taiwan 官方 LINE 與 Facebook ，與全球 CIO 同步獲取精華見解 ] 駭客集團利用弱密碼成功入侵其中一台主機後，便能輕易地橫向移動，控制整個雲端虛擬機環境。隨後，他們在多台主機上安裝了加密貨幣挖礦軟體，利用虛擬機的 CPU 資源進行挖礦活動。

事件分析過程

駭客集團持續在企業雲端環境中進行挖礦活動，導致系統資源被大量佔用。這不僅使得其他應用程式的運行速度緩慢，影響用戶體驗，更造成雲端資源的浪費，進而導致企業雲端服務費用大幅攀升。當用戶收到每月的雲端對帳單，發現每月的帳單金額持續的增加，檢視近期三個月對帳單明細，雲端虛擬機費用項目與過往相比，出現顯著的差異，費用出現明顯攀升，立即與雲 MSP 服務商（雲託管商）聯繫，表達對帳單的疑慮並請求展開調查分析。 [推薦文章：避免雲端主機淪為跳板收到公有雲鉅額帳單 ] 由於客戶雲端環境僅啟用基本監控，MSP 服務商資安架構師透過分析監控數據，發現半夜時段虛擬機 CPU 負載異常升高，進一步分析監控數據和系統日誌，發現有特定程式在每天凌晨 1 點自動啟動並於 6 點自動關閉，且系統日誌顯示有不明 IP 位址在該時間段內執行了多條遠端命令，疑似為駭客入侵的痕跡。在確認特定程式為加密貨幣挖礦程式後，當下便緊急處置三項措施，並隨後與客戶討論後續的建議與防範措施。

- 關閉遠端 SSH 存取控制

- 更換雲端虛擬機登入憑證

- 移除加密貨幣挖礦程式

為什麼會發生雲端挖礦

雲端挖礦是指利用雲端上虛擬機執行加密貨幣挖礦程式，這些虛擬機通常具有強大的運算能力，可以加速挖礦過程，駭客集團經常利用錯誤配置和軟體漏洞未經授權地利用雲端虛擬機資源執行挖礦，並將挖礦產生的收益轉移到駭客的錢包，主要原因有以下：

- 雲端資源算力強大：雲端服務商提供了彈性且可擴展的運算資源，駭客可以駭入並盜用這些雲端虛擬機運算資源來進行挖礦。

- 安全防護不足：部分用戶的安全意識不足或為了便於管理，未採取足夠的安全措施，導致虛擬機被駭客入侵，如本案例所有虛擬機設定為相同的登入憑證。

- 挖礦軟體易於取得：網路上有許多免費或開源的挖礦軟體，降低了駭客的技術門檻。

- 加密貨幣價格波動：當加密貨幣價格上漲時，挖礦的收益也會增加，進一步刺激駭客進行挖礦活動。

AWS EC2 虛擬機的存取訪問設定建議

- AWS SSH Firewall 規則設定

要嚴謹 EC2 允許 SSH 流量來源設定要定義出來源範圍（Custom），不可為 Anywhere 0.0.0.0/0，這代表 Internet 上的任何人都可以遠端 SSH 登入你的雲虛擬機。（見圖一）

AWS SSH Firewall規則設定

圖一、AWS SSH Firewall規則設定

- EC2 虛擬機不要配置外部 IP

不要配置外部 IP 位址給 EC2 虛擬機，減少公開暴露的風險。（見圖二）

EC2虛擬機不要配置外部 IP 設定

圖二、EC2虛擬機不要配置外部 IP 設定

- 透過 Systems Manager 管理和存取 EC2

當管理大規模雲端虛擬機（EC2）環境時，為了確保系統安全性與管理效率，建議透過 Systems Manager 管理和訪問 EC2，將 EC2 與 Systems Manager IAM 角色關聯，並安裝 SSM Agent，讓 Systems Manager 來管理和存取 EC2。（見圖三）

EC2與Systems Manager IAM 角色關聯設定

圖三、EC2與Systems Manager IAM 角色關聯設定

如何預防和偵測雲端虛擬機挖礦

如何防範雲端虛擬機遭挖礦？在大規模環境中，可透過嚴格監控系統資源、實施存取控制，並定期更新系統來預防，可參考以下幾個具體作法。

- 登入密碼原則：設定強密碼並使用密碼管理機制進行管理，定期更改所有雲端資源的密碼，以降低被駭客攻擊的風險。

- 避免用相同憑證：使用相同憑證雖然方便管理，但一旦憑證外洩，等同於拱手將所有系統的控制權交給了駭客，後果不堪設想。

- 虛擬機不配置外部 IP：為降低攻擊面，應避免為雲端虛擬機配置外部 IP，並透過跳板機建立受控的存取通道。

- 大規模系統管理機制：利用雲原生系統管理服務，實現對大規模雲端虛擬機的集中化管理，包括身份驗證登入、漏洞掃描和軟體更新等。

- 監控雲端環境：實施全面的雲端虛擬機監控機制，主動偵測並回應異常活動與即時分析指標，確保系統穩定運行。

結語

雲端安全是一個複雜的問題，需要企業採取多種措施來保護他們的雲端資源。其中一個重要的措施是確保登入憑證的安全性。通過使用強密碼、避免使用預設憑證、定期更新密碼、啟用多因素驗證、監控雲端環境和提供安全培訓，企業可以降低雲端安全風險，防止駭客利用竊取的登入憑證進行惡意活動。

在 CIO Taiwan 官網閱讀全文 : 虛擬機登入憑證設定不當駭客侵入成為虛擬幣礦場 https://www.cio.com.tw/84773/

其他訊息

產業訊息

虛擬機登入憑證設定不當駭客侵入成為虛擬幣礦場

其他訊息

MDR是什麼？企業需要MDR資安保護嗎？3分鐘看其原理與好處！

為什麼你的企業需要 Azure OpenAI：讓 AI 讀懂你公司的資料，還能變成專屬小助理

採用人工智慧克服銀行業的挑戰

多雲時代來臨，Azure Arc 引領企業輕鬆掌握多雲網路管理之道

從配置漏洞到數據洩露：一則 Terraform 安全案例剖析

告別安全與速度的兩難！阿里雲 ESA 邊緣安全加速，一站式全託管，安全防護，兼顧加速

雲端自動擴展的隱患：配置錯誤將引爆成本危機？

雲端日誌防線重要磐石，別讓黑箱成為防禦漏洞！

IAM 權限設定不當造成離職員工帳號被濫用

SOC結合SOAR好嗎？ SOC安全營運中心用途與結合SOAR優點一次知！

如何查詢網址安全？專家推薦這4招，教你免費檢測網頁安全性！

IT外包費用很貴嗎？一篇搞懂IT外包5個優點和費用如何評估！

多雲管理雲端是什麼？企業多雲資安管理的5大解決方案一次看！

雲地混合是什麼？3分鐘看公有雲、私有雲及混合雲優缺點比較！

ISO 27001是什麼？企業需要導入嗎？一篇瞭解資訊管理系統的優缺點！

雲端託管好嗎？雲端託管6大優點和挑選重點懶人包！

API 金鑰洩露引發大規模虛擬機創建事件

虛擬機登入憑證設定不當駭客侵入成為虛擬幣礦場

採用人工智慧克服銀行業的挑戰

雲端遷移策略企業數位轉型關鍵

從遊戲產業到數位平台：BigQuery 如何突破海量數據挑戰

社交工程是什麼？被攻擊該如何防範？5大資安攻擊和防範手法一次知！

企業需要用到CDN嗎？3分鐘快速瞭解CDN架構、用途和優點！

AWS是什麼？AWS雲端服務類型、優勢和使用方式一次瞭解！

DevOps和SRE差在哪？DevOps的4大優勢和相關服務推薦一次看！

如何做好雲端安全防護？推薦這6大雲端資安健診方法一次看！

IDC是什麼？我適合用嗎？挑選IDC機房3個重點和注意事項一次懂！

全新登場！阿里雲 CAPTCHA 服務，給您頂級安全防護與用戶體驗

什麼是DDoS攻擊？一次教你如何做好DDoS防護，保護你的網站！

如何提升網站效能優化？推薦5個改善網站速度的方法一次看！

雲端遷移成功關鍵因素

SOC它到底是什麼?它對資安有什麼作用?對於SOC資訊安全監控的功能與優勢有哪些?

精準運維，一站監控：探索騰訊雲可觀測平台的強大功能

Page Speed網頁速度如何加快？四種方法教你如何改善網站速度！

雲力橘子 2024 首發 Hacker Talk 論壇， 破解資安求職與無人機資安盲點

如何定義開源軟體＆套件？3分鐘快速搞懂第三方套件的授權模式！

雜貨店也能數位轉型？食品零售商如何透過公有雲優化商務呢

騰訊雲CCN雲聯網 手把手配置 高效穩定企業跨境全球互聯

【2024最新】公司企業的3款最佳Devops工具，成功案例一次看！

使用CDN安全嗎？CDN如何達到基本防護功能呢?

我用的APP安全嗎？會被竊個資嗎？3分鐘快速檢查手機APP資安！

如何確保做好企業資訊安全？這4大DDoS防護方法，推薦學起來！

發現手機被追蹤怎麼辦？注意 這十大被駭徵兆，手機資安恐不 保！

如何加快網站速度?影響網速的要件及升級指南

Vertex AI 和 Workbench 語言模組實戰，打造有人性的客服小幫手

我的 AWS實例啟用失敗，應該怎麼做？

雲力橘子 2023 最終場駭客論壇，探討網站風險、原碼檢測盲點與 Crypto 黑暗面

DDOS流量清洗是什麼？可以阻擋攻擊嗎？DDOS防禦方法一次看！

Devops是什麼？推薦企業一次看懂Devops定義、流程及優缺點！

如何做好資安防護？3個APP資安檢測工具、費用及功能一次看！

CDN廠商怎麼選？中華電信CDN、Cloudflare及Multi CDN大評比！

如何檢測iOS、Android手機資安？4招檢測方法預防詐騙＆駭客！

Google Cloud 引領潮流，擴大企業級生成式 AI的應用範疇，開創無限可能！

雲力橘子邀請專家獻策，破解惡意後門與車載資安盲點

企業為什麼要上雲？用途為何？盤點上雲5大優勢和費用解析！

可自建CDN嗎？和供應商差在哪？兩者優缺點和供應商挑選一次懂！

優化數據處理體驗：探索騰訊雲 EdgeOne 邊緣計算新境界

我該如何選擇最適合 AWS EC2 實例?

企業如何挑選合適的雲端服務？公有雲、私有雲差異比較總整理

技術專欄_運用AWS Network Firewall控制 Workspaces

弱點掃描工具有哪些？5款免費、付費弱點掃描工具優缺點分析！

如何設定網站CDN？推薦公司企業使用CDN加速的4大原因！

如何應對邊緣節點的網路攻擊？在 CDN 邊緣節點建立防護系統！

如何測試網站安全？OWASP工具測試弱點掃描的功能服務解析！

如何防禦DDoS攻擊？推薦這4大DDoS防護方法，避免網站被駭！

Google Cloud 初學者指南：我該將服務運行在哪呢？

雲力橘子串聯執法機關、資安廠商與風險顧問引導企業降低遇駭危機

企業需要SOC資安監控嗎？如何評估？看懂SOC監控的5大功能！

Multi CDN是什麼？為什麼要融合CDN？其應用方法與原理一次知！

如何利用CDN內容傳遞網路讓網站加速？4大優勢與趨勢分析！

DDoS攻擊怎麼防禦？DDoS攻擊手法與資安供應商挑選一次搞懂！

為什麼網站速度慢？和網頁設計有關嗎？速度慢會造成什麼影響？

如何提升企業雲端防護力-Cloud Armor

雲力橘子 2023 首發論壇，揭示藍隊能力升級、 開發／資安磨合的奧妙心法

2021 OWASP Top 10 A09資安紀錄與監控失效

2021 OWASP Top 10 A10伺服器請求偽造

安全防護：Web Application Firewall 設定教學

雲力橘子 2024 首發 Hacker Talk 論壇，破解資安求職與無人機資安盲點

騰訊雲CCN雲聯網手把手配置高效穩定企業跨境全球互聯

發現手機被追蹤怎麼辦？注意這十大被駭徵兆，手機資安恐不保！

雲力橘子 2023 首發論壇，揭示藍隊能力升級、開發／資安磨合的奧妙心法

2022 雲力橘子 Hacker Talk 漂亮收尾，解構開發模式、弱點檢測之安全盲點

如何提升網站速度及效能？推薦先搞懂動態v.s靜態網站的差異！

從零基礎學破解的駭客工具 Magisk Root，看懂駭客攻擊如何操作！