Palo Alto Networks的研究人員部署了一個(gè)由 320 個(gè)節(jié)點(diǎn)組成的蜜罐基礎(chǔ)設(shè)施，以對(duì)公共云服務(wù)的攻擊進(jìn)行分析。結(jié)果發(fā)現(xiàn)，320 個(gè)蜜罐中有 80% 在 24 小時(shí)內(nèi)被攻破，其它蜜罐也都在一周內(nèi)被攻破。

[[436811]]

研究人員在這一設(shè)施內(nèi)設(shè)置了多項(xiàng)實(shí)例，包括暴露遠(yuǎn)程桌面協(xié)議 (RDP)、安全外殼協(xié)議 (SSH)、服務(wù)器消息塊 (SMB) 和 Postgres 數(shù)據(jù)庫(kù)系統(tǒng)。他們故意在其中配置了一些使用弱憑證的帳戶，例如 admin:admin、guest:guest、administrator:password。當(dāng)攻擊者通過(guò)其中一個(gè)憑證成功進(jìn)行身份驗(yàn)證并獲得相應(yīng)的訪問(wèn)權(quán)限時(shí)，蜜罐將被重置并重新部署。專家根據(jù)結(jié)果，發(fā)現(xiàn)：

• 受攻擊最多的是 SSH
• 受攻擊最多的 SSH 蜜罐在一天內(nèi)被攻破 169 次
• 每個(gè) SSH 蜜罐平均每天被入侵 26 次
• 專家觀察到，研究人員部署的 80 個(gè) Postgres 蜜罐，被一名攻擊者破壞了其中的96%，并且所有實(shí)例都在 30 秒內(nèi)被黑客入侵。
• 85%的攻擊者IP只在一天內(nèi)被觀察到，這表明基于第三層IP的防火墻對(duì)這些攻擊是無(wú)效的，因?yàn)楣粽咻喠魇褂孟嗤腎P來(lái)發(fā)動(dòng)攻擊

根據(jù)統(tǒng)計(jì)，安全外殼協(xié)議 (SSH)受攻擊次數(shù)最多

專家們分析了不同實(shí)例首次被攻破的時(shí)間，發(fā)現(xiàn)Samba為2485分鐘，RDP為667分鐘，Postgres為511分鐘，SSHD為184分鐘。此外，專家們還關(guān)注了針對(duì)同一實(shí)例，兩次連續(xù)入侵之間的平均時(shí)間，平均入侵時(shí)間與針對(duì)該實(shí)例的攻擊者數(shù)量成反比。通常越是容易被攻擊的目標(biāo)，會(huì)吸引越多的攻擊者。但為了盡可能多地爭(zhēng)奪資源，攻擊者一般會(huì)試圖清除其他同行(如Rocke、TeamTNT)留下的惡意軟件或后門(mén)。

在最終形成的報(bào)告中，專家們認(rèn)為，易受攻擊的網(wǎng)絡(luò)服務(wù)對(duì)于公共云來(lái)說(shuō)并不新鮮，但由于這寫(xiě)服務(wù)大多與其它服務(wù)相連，任何攻擊都可能導(dǎo)致整個(gè)云端系統(tǒng)的正常運(yùn)行。

為此，Palo Alto Networks發(fā)布了針對(duì)云服務(wù)的保護(hù)措施：

• 創(chuàng)建保護(hù)特權(quán)端口的防護(hù)工具
• 創(chuàng)建審計(jì)規(guī)則，監(jiān)測(cè)所有開(kāi)放的端口和暴露的服務(wù)
• 創(chuàng)建自動(dòng)響應(yīng)和補(bǔ)救規(guī)則，自動(dòng)修復(fù)錯(cuò)誤配置
• 部署新一代防火墻，如VM系列或WAF，以阻止惡意流量

參考來(lái)源：https://securityaffairs.co/wordpress/124959/hacking/vulnerable-honeypot-exposure-analysis.html