网络攻击者总是虎视耽耽寻找可乘之机。尤其是企业开始将应用搬上云计算。AWS执行实例因组态不当导致资料外泄的新闻屡见不鲜。Google Cloud发现,组态不当的执行实例,可能最快22秒就会被黑入,用来挖矿、托管恶意程序或是攻击其他系统等恶意行为。
Google集结威胁分析小组(Threat Analysis Group,TAG)、Chronicle、信任与安全部门的资料,最近公布一份报告,针对50个Google Cloud Platform(GCP)上遭入侵的执行实例分析被入侵后的结果。
他们发现,3/4(75%)遭攻击的GCP执行实例,是源自安全措施不足或使用有问题的第三方软件。其中48%的受害者账号或API连接没有设密码或使用弱密码,因此很容易被从外部扫描或暴力破解。26%的受害者则是安装了有漏洞的第三方软件所致。其次是因为执行实例或第三方软件组态不当,以及登录凭证外泄,像是密钥在GitHub项目被公开。
黑客攻入GCP执行实例花不了太久时间。由于攻击者不断扫描IP地址的结果,40%的执行实例不用8小时内就被攻破,从执行实例从启动到被黑入、最短可能只需30分钟。
分析这些受害者之后的命运,近九成(86%)被用来挖矿。由于被黑主要为了挖矿而非窃取信息,因此GCP相信,攻击者是著眼一群IP地址,而非锁定特定用户。受害者其他“用途”则是对其他机器扫描传输端口、托管恶意软件或非授权的内容、发送垃圾信件,甚至发动攻击或分布式阻断攻击(DDoS)。
在被用来挖矿的情况中,58%案例是22秒内就成功安装挖矿软件。这显示攻击者的初始攻击及后续下载动作是由脚本指令执行,不需用户交互,因此也几乎不可能来得及人为介入阻断。
别的研究也显示,黑客攻入不安全系统的速度有多快。Palo Alto Networks安全研究中心一项测试发现,黑客在几分钟内就能够发现并成功入侵诱捕系统,8成的诱捕系统24小时内即被黑客攻陷。