谷歌云平臺(GCP)上運行的云實例若配置不當,遭網絡罪犯侵入后僅22秒,加密貨幣挖礦機就在上面歡快地奔騰了。
截至目前,加密貨幣挖礦是攻擊者拿下錯誤配置的GCP云實例后進行的主要惡意活動,占入侵后所有惡意操作的86%。
很多情況下,攻擊者動作相當迅速,侵入云實例后幾乎是即時安裝加密貨幣挖礦惡意軟件,肆意搭乘他人CPU和GPU資源便車為自己謀福利。
谷歌日前首次發布的《云威脅情報》報告中寫道:“對用于執行未授權加密貨幣挖礦的多個系統進行分析(隨附時間線信息),我們可以看出:58%的情況下,加密貨幣挖礦軟件在侵入后22秒內即下載到了系統上。”
此外,攻擊者找出并入侵聯網不安全實例的速度也令人震驚。最快紀錄是此類實例部署后僅30分鐘就被入侵了。40%的情況下,從部署到遭入侵的時間間隔不足八小時。
安全公司Palo Alto Networks的發現與谷歌類似:面向互聯網的320個云“蜜罐”實例(用于吸引攻擊者)中,80%在部署后24小時內遭入侵。
正如谷歌的報告所昭示的,加密貨幣挖礦惡意軟件是GCP上未采取云實例防護措施的用戶所遭遇的一大問題。
谷歌指出:“隨著惡意黑客開始進行多種形式的濫用,盡管數據盜竊似乎不是此類攻擊的目標,卻仍然形成了與云資產泄露相關的風險。面向公共互聯網的云實例對掃描和暴力破解攻擊敞開了大門。”
面向互聯網的GCP示例是攻擊者的重點目標。近半數實例遭入侵是由于用戶賬戶或API連接沒有設置口令或僅設置了弱口令,導致攻擊者可以實施掃描和暴力破解,輕松獲得實例的訪問權。
“這表明攻擊者經常掃描公共IP地址空間,意圖掃出防護不周的云實例。脆弱云實例被探測出來只不過是時間問題。”
此外,26%的云實例遭入侵是因為云實例擁有者采用的第三方軟件存在漏洞。
谷歌云首席信息安全官辦公室主任Bob Mechler稱:“很多攻擊得以成功實施都是因為網絡防護不周和缺乏基本控制措施。”
該報告由谷歌網絡安全行動小組(GCAT)編撰,總結了谷歌威脅分析小組(TAG)、谷歌云安全與信任中心,以及Chronicle谷歌云威脅情報、信任與安全等內部團隊去年的觀察所得。
谷歌《云威脅情報》報告:
https://services.google.com/fh/files/misc/gcat_threathorizons_full_nov2021.pdf
來源:數世咨詢