e5f0c8ce59035acecae5f01583ea099

Unit 42 设置 320 个蜜罐,一天内 80% 受到攻击

  • 浏览次数 31081
  • 喜欢 0
  • 评分 12345

Hackernews编译,转载请注明出处:

e5f0c8ce59035acecae5f01583ea099

研究人员设置了320个蜜罐,以观察攻击者攻击暴露的云服务的速度,发现80%的蜜罐在24小时内受到攻击。
攻击者不断扫描互联网,寻找可以利用于访问内部网络或执行其他恶意活动的公开服务。
为了追踪哪些软件和服务是黑客的目标,研究人员创建了可公开访问的蜜罐。蜜罐是一种服务器,配置成各种软件运行,作为诱饵来监控黑客活动。
在Palo Altos Networks的Unit 42 进行的一项新研究中,研究人员设置了320个蜜罐,发现80%的蜜罐在最初的24小时内受损。
部署的蜜罐包括带有远程桌面协议(RDP)、安全外壳协议(SSH)、服务器消息块(SMB)和Postgres数据库服务的蜜罐,在2021年7月至8月保持活动状态。这些蜜罐部署在世界各地,在北美、亚太和欧洲都有实例。

863078d7f2af02113c4e8b69c863d22

攻击者行动轨迹
第一次攻击的时间与服务类型被攻击的数量有关。
对于最具针对性的SSH蜜罐,第一次攻击的平均时间为3小时,两次连续攻击之间的平均时间约为2小时。

cb03cd312954ba943465c269552fd34
Unit 42还观察到一个值得注意的案例,即一名黑客在30秒内破坏了实验中80个Postgres蜜罐的96%。
这一发现非常令人担忧,因为在发布新的安全更新时,部署这些更新可能需要几天甚至更长的时间,而攻击者只需要几个小时就可以侵入公开的服务。
最后,关于地理位置是否有任何区别,结果显示,亚太地区受到黑客的最大关注。

5faa070d501f2abf11730014ae63734

防火墙有用吗?

绝大多数(85%)的攻击者IP是在一天内发现的,这意味着攻击者很少(15%)在随后的攻击中重用相同的IP。
这种持续的IP变化使得“第3层”防火墙规则对大多数威胁参与者无效。
能够更好地缓解攻击的方法是通过从网络扫描项目中提取数据来阻止IP,这些项目每天识别数十万个恶意IP。
然而,Unit 42在48个蜜罐组成的子组上测试了这一方法,发现阻断700000多个IP之后,子组和对照组之间在攻击次数上没有显著差异

79dbeeb9182f250f8c7691fa34b9b02
为了有效地保护云服务,Unit42 建议管理员执行以下操作:

  • 创建护栏以防止特权端口打开。
  • 创建审核规则以监视所有打开的端口和公开的服务。
  • 创建自动响应和补救规则来自动修复错误。
  • 在应用程序前面部署下一代防火墙(WFA或VM系列)。

最后,始终在最新安全更新可用时安装这些更新,因为黑客在发布新漏洞时会迅速利用这些漏洞。

 

消息来源:BleepingComputer,译者:Zoeppo;

本文由 HackerNews.cc 翻译整理,封面来源于网络;

转载请注明“转自 HackerNews.cc ” 并附上原文链接

关于作者

Zoe

o(* ̄▽ ̄*)ブ