云端挖矿劫持
云端挖矿劫持 是什么?
云端挖矿劫持未经授权使用受害者的云计算资源挖掘加密货币,使受害者承担高额账单,而攻击者获得收益。
云端挖矿劫持滥用被入侵的云账户、泄露的凭据、有漏洞的容器或不安全的 CI/CD 流水线来启动计算资源,挖掘门罗币等抗 ASIC 的代币。攻击者偏好大型 GPU 或可突发实例,常在 Kubernetes Pod 或 Serverless 函数中部署 XMRig,以混入正常业务负载。费用由受害者承担,涵盖 CPU、GPU 与出站流量,有时数小时即可累计数万美元。检测依赖成本异常告警、CPU 饱和度、流向矿池的出站流量及 CSPM 规则;预防的重点是最小权限 IAM、MFA、秘密扫描和镜像签名。
● 示例
- 01
泄露的 AWS 密钥用于启动一组运行 XMRig 的 GPU EC2 实例。
- 02
被入侵的 CI 运行器在合法构建之间挖掘门罗币。
● 常见问题
云端挖矿劫持 是什么?
未经授权使用受害者的云计算资源挖掘加密货币,使受害者承担高额账单,而攻击者获得收益。 它属于网络安全的 云安全 分类。
云端挖矿劫持 是什么意思?
未经授权使用受害者的云计算资源挖掘加密货币,使受害者承担高额账单,而攻击者获得收益。
云端挖矿劫持 是如何工作的?
云端挖矿劫持滥用被入侵的云账户、泄露的凭据、有漏洞的容器或不安全的 CI/CD 流水线来启动计算资源,挖掘门罗币等抗 ASIC 的代币。攻击者偏好大型 GPU 或可突发实例,常在 Kubernetes Pod 或 Serverless 函数中部署 XMRig,以混入正常业务负载。费用由受害者承担,涵盖 CPU、GPU 与出站流量,有时数小时即可累计数万美元。检测依赖成本异常告警、CPU 饱和度、流向矿池的出站流量及 CSPM 规则;预防的重点是最小权限 IAM、MFA、秘密扫描和镜像签名。
如何防御 云端挖矿劫持?
针对 云端挖矿劫持 的防御通常结合技术控制与运营实践,详见上方完整定义。
云端挖矿劫持 还有哪些其他名称?
常见的别称包括: 云挖矿滥用, 资源劫持。
● 相关术语
- cloud-security№ 186
云密钥泄露
长期有效的云访问密钥意外暴露在公开仓库、容器镜像、日志或客户端代码中,通常在几分钟内被滥用。
- cloud-security№ 505
IAM 权限提升
利用现有的云 IAM 权限获取更高权限,常见手段包括修改策略、传递角色或为自身授予管理员权限。
- cloud-security№ 598
Kubernetes 集群攻击
针对 Kubernetes(K8s)集群的入侵,利用暴露的 API、薄弱的 RBAC 或脆弱的工作负载来控制控制平面或工作节点。
- cloud-security№ 211
容器逃逸
一种突破容器与宿主机隔离边界的攻击,使攻击者在底层节点或内核上执行代码。
- cloud-security№ 255
CSPM 发现项
云安全态势管理(CSPM)工具在云资源违反安全基线、策略或合规规则时生成的告警。