[调研]云实例遭入侵主要源自弱口令或无口令

攻防
1月前

gcat_threathorizons_full_nov2021.jpg

  谷歌云平台(GCP)上运行的云实例若配置不当,遭网络罪犯侵入后仅22秒,加密货币挖矿机就在上面欢快地奔腾了。

  截至目前,加密货币挖矿是攻击者拿下错误配置的GCP云实例后进行的主要恶意活动,占入侵后所有恶意操作的86%。 

  很多情况下,攻击者动作相当迅速,侵入云实例后几乎是即时安装加密货币挖矿恶意软件,肆意搭乘他人CPU和GPU资源便车为自己谋福利。 

  谷歌日前首次发布的《云威胁情报》报告中写道:“对用于执行未授权加密货币挖矿的多个系统进行分析(随附时间线信息),我们可以看出:58%的情况下,加密货币挖矿软件在侵入后22秒内即下载到了系统上。”

  此外,攻击者找出并入侵联网不安全实例的速度也令人震惊。最快纪录是此类实例部署后仅30分钟就被入侵了。40%的情况下,从部署到遭入侵的时间间隔不足八小时。 

  安全公司Palo Alto Networks的发现与谷歌类似:面向互联网的320个云“蜜罐”实例(用于吸引攻击者)中,80%在部署后24小时内遭入侵。 

  正如谷歌的报告所昭示的,加密货币挖矿恶意软件是GCP上未采取云实例防护措施的用户所遭遇的一大问题。 

  谷歌指出:“随着恶意黑客开始进行多种形式的滥用,尽管数据盗窃似乎不是此类攻击的目标,却仍然形成了与云资产泄露相关的风险。面向公共互联网的云实例对扫描和暴力破解攻击敞开了大门。” 

  面向互联网的GCP示例是攻击者的重点目标。近半数实例遭入侵是由于用户账户或API连接没有设置口令或仅设置了弱口令,导致攻击者可以实施扫描和暴力破解,轻松获得实例的访问权。

  “这表明攻击者经常扫描公共IP地址空间,意图扫出防护不周的云实例。脆弱云实例被探测出来只不过是时间问题。”

  此外,26%的云实例遭入侵是因为云实例拥有者采用的第三方软件存在漏洞。

  谷歌云首席信息安全官办公室主任Bob Mechler称:“很多攻击得以成功实施都是因为网络防护不周和缺乏基本控制措施。”

  该报告由谷歌网络安全行动小组(GCAT)编撰,总结了谷歌威胁分析小组(TAG)、谷歌云安全与信任中心,以及Chronicle谷歌云威胁情报、信任与安全等内部团队去年的观察所得。


  谷歌《云威胁情报》报告:点击下载



参考阅读

云安全实践:CWPP、CSPM和CNAPP

云原生安全的五个建议

AWS、谷歌云、Azure:云计算三巨头安全功能比较