PaloAltoNetworks研究人员部署了一个320节点的蜜罐基础设施来分析对公共云服务的攻击。结果发现,320个蜜罐中有80%在24小时内被攻破,其他所有蜜罐在一周内被攻破。研究人员在该设施内设置了多个实例,包括公开远程桌面协议(RDP)、安全外壳协议(SSH)、服务器消息块(SMB)和Postgres数据库系统。他们故意使用弱凭证配置一些帐户,如admin:admin、guest:guest、administrator:password。当攻击者使用这些凭据之一成功进行身份验证并获得访问权限时,蜜罐将被重置并重新部署。根据结果??,专家发现:受攻击最多的SSH蜜罐一天内被攻破169次每个SSH蜜罐平均每天被攻破26次专家观察到研究人员部署了80个Postgres蜜罐,其中96%被攻破由一名攻击者发起,所有实例都在30秒内被黑客入侵。85%的攻击者IP仅在一天内被观察到,表明基于第3层IP的防火墙对这些攻击无效,因为攻击者轮流使用同一IP发起攻击据统计,安全外壳协议(SSH)大多数受攻击专家分析了不同实例首次被入侵的时间,发现Samba为2485分钟,RDP为667分钟,Postgres为511分钟,SSHD为184分钟。此外,专家们还研究了针对同一实例的两次连续入侵之间的平均时间,这与针对该实例的攻击者数量成反比。一般来说,目标越容易被攻击,就会吸引越多的攻击者。但为了尽可能多地争夺资源,攻击者通常会尝试清除其他节点(如Rocke、TeamTNT)留下的恶意软件或后门。在最终报告中,专家认为易受攻击的网络服务对公有云来说并不新鲜,但由于这些服务大多与其他服务相连,任何攻击都可能导致整个云系统的正常运行。为此,PaloAltoNetworks发布了针对云服务的保护措施:创建保护工具保护特权端口创建审计规则监控所有开放端口和暴露的服务创建自动响应和补救规则自动修复错误配置部署新一代防火墙,例如作为VM系列或WAF,以阻止恶意流量参考来源:https://securityaffairs.co/wordpress/124959/hacking/vulnerable-honeypot-exposure-analysis.html
