Palo Alto Networks的研究人员部署了一个由 320 个节点组成的蜜罐基础设施,以对公共云服务的攻击进行分析。结果发现,320 个蜜罐中有 80% 在 24 小时内被攻破,其它蜜罐也都在一周内被攻破。
研究人员在这一设施内设置了多项实例,包括暴露远程桌面协议 (RDP)、安全外壳协议 (SSH)、服务器消息块 (SMB) 和 Postgres 数据库系统。他们故意在其中配置了一些使用弱凭证的帐户,例如 admin:admin、guest:guest、administrator:password。当攻击者通过其中一个凭证成功进行身份验证并获得相应的访问权限时,蜜罐将被重置并重新部署。专家根据结果,发现:
- 受攻击最多的是 SSH
- 受攻击最多的 SSH 蜜罐在一天内被攻破 169 次
- 每个 SSH 蜜罐平均每天被入侵 26 次
- 专家观察到,研究人员部署的 80 个 Postgres 蜜罐,被一名攻击者破坏了其中的96%,并且所有实例都在 30 秒内被黑客入侵。
- 85%的攻击者IP只在一天内被观察到,这表明基于第三层IP的防火墙对这些攻击是无效的,因为攻击者轮流使用相同的IP来发动攻击
根据统计,安全外壳协议 (SSH)受攻击次数最多
专家们分析了不同实例首次被攻破的时间,发现Samba为2485分钟,RDP为667分钟,Postgres为511分钟,SSHD为184分钟。此外,专家们还关注了针对同一实例,两次连续入侵之间的平均时间,平均入侵时间与针对该实例的攻击者数量成反比。通常越是容易被攻击的目标,会吸引越多的攻击者。但为了尽可能多地争夺资源,攻击者一般会试图清除其他同行(如Rocke、TeamTNT)留下的恶意软件或后门。
在最终形成的报告中,专家们认为,易受攻击的网络服务对于公共云来说并不新鲜,但由于这写服务大多与其它服务相连,任何攻击都可能导致整个云端系统的正常运行。
为此,Palo Alto Networks发布了针对云服务的保护措施:
- 创建保护特权端口的防护工具
- 创建审计规则,监测所有开放的端口和暴露的服务
- 创建自动响应和补救规则,自动修复错误配置
- 部署新一代防火墙,如VM系列或WAF,以阻止恶意流量
参考来源:https://securityaffairs.co/wordpress/124959/hacking/vulnerable-honeypot-exposure-analysis.html
