Palo Alto Networks的研究人員部署了一個由 320 個節(jié)點組成的蜜罐基礎(chǔ)設(shè)施，以對公共云服務(wù)的攻擊進行分析。結(jié)果發(fā)現(xiàn)，320 個蜜罐中有 80% 在 24 小時內(nèi)被攻破，其它蜜罐也都在一周內(nèi)被攻破。

[[436811]]

研究人員在這一設(shè)施內(nèi)設(shè)置了多項實例，包括暴露遠程桌面協(xié)議 (RDP)、安全外殼協(xié)議 (SSH)、服務(wù)器消息塊 (SMB) 和 Postgres 數(shù)據(jù)庫系統(tǒng)。他們故意在其中配置了一些使用弱憑證的帳戶，例如 admin:admin、guest:guest、administrator:password。當攻擊者通過其中一個憑證成功進行身份驗證并獲得相應(yīng)的訪問權(quán)限時，蜜罐將被重置并重新部署。專家根據(jù)結(jié)果，發(fā)現(xiàn)：

• 受攻擊最多的是 SSH
• 受攻擊最多的 SSH 蜜罐在一天內(nèi)被攻破 169 次
• 每個 SSH 蜜罐平均每天被入侵 26 次
• 專家觀察到，研究人員部署的 80 個 Postgres 蜜罐，被一名攻擊者破壞了其中的96%，并且所有實例都在 30 秒內(nèi)被黑客入侵。
• 85%的攻擊者IP只在一天內(nèi)被觀察到，這表明基于第三層IP的防火墻對這些攻擊是無效的，因為攻擊者輪流使用相同的IP來發(fā)動攻擊

根據(jù)統(tǒng)計，安全外殼協(xié)議 (SSH)受攻擊次數(shù)最多

專家們分析了不同實例首次被攻破的時間，發(fā)現(xiàn)Samba為2485分鐘，RDP為667分鐘，Postgres為511分鐘，SSHD為184分鐘。此外，專家們還關(guān)注了針對同一實例，兩次連續(xù)入侵之間的平均時間，平均入侵時間與針對該實例的攻擊者數(shù)量成反比。通常越是容易被攻擊的目標，會吸引越多的攻擊者。但為了盡可能多地爭奪資源，攻擊者一般會試圖清除其他同行(如Rocke、TeamTNT)留下的惡意軟件或后門。

在最終形成的報告中，專家們認為，易受攻擊的網(wǎng)絡(luò)服務(wù)對于公共云來說并不新鮮，但由于這寫服務(wù)大多與其它服務(wù)相連，任何攻擊都可能導(dǎo)致整個云端系統(tǒng)的正常運行。

為此，Palo Alto Networks發(fā)布了針對云服務(wù)的保護措施：

• 創(chuàng)建保護特權(quán)端口的防護工具
• 創(chuàng)建審計規(guī)則，監(jiān)測所有開放的端口和暴露的服務(wù)
• 創(chuàng)建自動響應(yīng)和補救規(guī)則，自動修復(fù)錯誤配置
• 部署新一代防火墻，如VM系列或WAF，以阻止惡意流量

參考來源：https://securityaffairs.co/wordpress/124959/hacking/vulnerable-honeypot-exposure-analysis.html