Hetzner 云加密劫持事件技术分析 - 摘要
云安全 加密劫持 威胁情报
本报告深度分析一起针对 Hetzner Cloud 基础设施的加密劫持攻击事件。攻击者利用被盗的云控制台凭证,通过 Rescue Mode API 实现虚拟机级入侵,部署 XMRig 挖矿程序并建立多层持久化机制。研究揭示攻击链条、MITRE ATT&CK 映射、检测与防御指南。
研究摘要
本报告基于一起真实的 Hetzner Cloud VPS 被入侵事件,详细分析了一次复杂的加密劫持(Cryptojacking)攻击活动。攻击者通过被盗的云控制台凭证,利用 Hetzner Rescue Mode API 实现了虚拟机级入侵,在受害者服务器上部署了 XMRig 6.25.0 挖矿程序,并建立了三层持久化架构。
核心发现
-
攻击向量创新:攻击者未利用任何客户机层面的漏洞,而是通过云提供商控制平面 API 实现 hypervisor 级访问,完全绕过了 SSH 密钥限制、防火墙规则和入侵检测系统。
-
2FA 失效原因:受害者将密码和 TOTP 种子同时存储在同一个密码管理器中,导致双因素认证实际上降级为单因素认证。
-
持久化架构:攻击者建立了 crontab + 恢复脚本 + 配置备份的三层持久化机制,能够在二进制文件被删除后自动重新安装。
-
双重获利模式:除 XMRig 挖矿外,攻击者还尝试部署 RemnaWave VPN 节点进行代理转售。
-
攻击规模:矿池情报显示至少 243 次入侵尝试,35 个工作节点仍在活跃,日收益约 0.72 美元。
攻击时间线
| 时间(UTC) | 事件 |
|---|---|
| 01:39:01 | 最后正常 cron 作业执行 |
| 01:47:03 | 系统关闭,磁盘卸载 |
| 01:50:22 | authorized_keys 被修改(VM 离线状态) |
| 01:51:25 | 新内核启动 |
| 01:51:36 | 攻击者从 82.162.122.144 SSH 登录 |
| 03:56 | 初始侦察阶段结束 |
| 4 天后 | 攻击者返回部署 XMRig |
关键威胁指标(IOC)
- 攻击源 IP:82.162.122.144(俄罗斯符拉迪沃斯托克,PJSC MTS)
- 挖矿钱包地址:
4ABnCJEm7Umfip66JRPJ35JtdDkM6BWrA1JqXMDMfQaVVxECJS584THY6cm4y6STLDW9H5fAGoCpebvYrj3PKWy6DiXd75r - 矿池:
pool.supportxmr.com:443 - 恶意二进制文件:
/root/.system-cache/systemd-bench(XMRig 6.25.0) - 持久化脚本:
/etc/xmrig-restore/restore.sh
报告结构
| 文件 | 标题 | 内容 |
|---|---|---|
| 01-context-and-goals.md | 背景与目标 | 事件概述、研究目标、云安全威胁背景 |
| 02-technical-architecture.md | 攻击技术架构 | Rescue Mode 攻击链、持久化机制、网络逃逸技术 |
| 03-comparative-analysis.md | 攻击手法对比分析 | 与传统入侵手法对比、云 API 滥用的独特性 |
| 04-proof-of-concept.md | 关键技术验证 | 攻击脚本分析、配置参数、检测脚本 |
| 05-risk-and-conclusion.md | 风险评估与防御指南 | 检测建议、缓解措施、安全最佳实践 |
核心参考资料
- 原始事件分析文章 - Innora.ai 完整技术分析
- XMRig 官方仓库 - 挖矿程序源码
- MITRE ATT&CK for Cloud - 云攻击技术矩阵
- Hetzner Cloud API 文档 - Rescue Mode API 参考
- SupportXMR 矿池 - 矿池仪表盘
报告生成日期:2026-03-08 | 分析师:AI Research Assistant | 分类:云安全事件分析