實驗表明,易受攻擊的蜜罐可以在 24 小時內被攻破

語言: CN / TW / HK

Palo Alto Networks的研究人員部署了一個由 320 個節點組成的蜜罐基礎設施,以對公共雲服務的攻擊進行分析。結果發現,320 個蜜罐中有 80% 在 24 小時內被攻破,其它蜜罐也都在一週內被攻破。

研究人員在這一設施內設定了多項例項,包括暴露遠端桌面協議 (RDP)、安全外殼協議 (SSH)、伺服器訊息塊 (SMB) 和 Postgres 資料庫系統。他們故意在其中配置了一些使用弱憑證的帳戶,例如 admin:admin、guest:guest、administrator:password。當攻擊者通過其中一個憑證成功進行身份驗證並獲得相應的訪問許可權時,蜜罐將被重置並重新部署。專家根據結果,發現:

1.受攻擊最多的是 SSH
2.受攻擊最多的 SSH 蜜罐在一天內被攻破 169 次
3.每個 SSH 蜜罐平均每天被入侵 26 次
4.專家觀察到,研究人員部署的 80 個 Postgres 蜜罐,被一名攻擊者破壞了其中的96%,並且所有例項都在 30 秒內被黑客入侵。
5.85%的攻擊者IP只在一天內被觀察到,這表明基於第三層IP的防火牆對這些攻擊是無效的,因為攻擊者輪流使用相同的IP來發動攻擊

根據統計,安全外殼協議 (SSH)受攻擊次數最多

專家們分析了不同例項首次被攻破的時間,發現Samba為2485分鐘,RDP為667分鐘,Postgres為511分鐘,SSHD為184分鐘。此外,專家們還關注了針對同一例項,兩次連續入侵之間的平均時間,平均入侵時間與針對該例項的攻擊者數量成反比。通常越是容易被攻擊的目標,會吸引越多的攻擊者。但為了儘可能多地爭奪資源,攻擊者一般會試圖清除其他同行(如Rocke、TeamTNT)留下的惡意軟體或後門。

在最終形成的報告中,專家們認為,易受攻擊的網路服務對於公共雲來說並不新鮮,但由於這寫服務大多與其它服務相連,任何攻擊都可能導致整個雲端系統的正常執行。

為此,Palo Alto Networks釋出了針對雲服務的保護措施:

1.建立保護特權埠的防護工具
2.建立審計規則,監測所有開放的埠和暴露的服務
3.建立自動響應和補救規則,自動修復錯誤配置
4.部署新一代防火牆,如VM系列或WAF,以阻止惡意流量

參考來源:

https://securityaffairs.co/wordpress/124959/hacking/vulnerable-honeypot-exposure-analysis.html