320个蜜罐其中80%在一天内沦陷

图片

11月22日,网络安全公司Palo Alto Networks旗下威胁情报团队Unit 42公布了一份研究报告,报告中指出,该团队研究人员设置的320个蜜罐,其中的80%在24小时内被攻陷,而所有蜜罐都在一周内被攻陷。


蜜罐是一种诱捕攻击者的陷阱,通过模拟易受攻击的计算机,吸引、诱骗互联网上的非法攻击,藉此收集攻击者的数据、分析攻击者的工具和方法,从而进一步了解所面临的安全威胁、增强安全防护能力。

蜜罐系统的优点之一就是它们大大减少了所要分析的数据。对于通常的网站或邮件服务器,攻击流量通常会被合法流量所淹没。而蜜罐进出的数据大部分是攻击流量。因而,浏览数据、查明攻击者的实际行为也就容易多了。


SSH、Samba、Postgres和RDP四类协议均匀部署于整个蜜罐基础设施。2021年7月,研究人员将320个蜜罐部署于北美(NA)、亚太地区(APAC)和欧洲(EU)。

如下为所有蜜罐的平均首次攻陷时间:

图片

可以看到,对于SSH蜜罐,首次攻陷的平均时间为3小时。而Unit 42还观察到,有一个攻击者在短短30秒内攻破了80个Postgres蜜罐中的96%。

实验结果非常令人担忧,我们知道一般在发布新的安全更新时,普通人可能会在数天甚至更长时间完成更新,而威胁行为者只需要数小时就可完成攻击。

下图为在一个蜜罐上两次入侵的平均间隔时间:

图片

互联网上易受攻击的计算机经常会被多个攻击者争夺,为了独占受害者的资源,攻击者通常会删除其他攻击者留下的恶意软件或后门。

图片

研究发现85%的攻击者IP都是在一天内观察到的,大部分攻击者不会在随后的攻击中重复使用相同的IP。这种IP变化意味着第三层防火墙对威胁行为者效果有限

根据这份研究报告,当配置错误、易受攻击的服务暴露在网络上时,攻击者只需很短的时间就能发现并破坏该服务。这项研究再次验证了不安全暴露的风险,提醒大家要迅速修补安全问题。

资讯来源:Palo Alto Networks官网


「渗透云记」公众号里主要记录我每天的所思所想,我会坚持更新质量不错的文章,感兴趣的小伙伴可以扫描下方二维码,谢谢支持! 安全小天地 - 公众号 - 渗透云记

© 版权声明
THE END
喜欢就支持一下吧
点赞7 分享
评论 抢沙发

请登录后发表评论

    请登录后查看评论内容