Google發(fā)現(xiàn)這類高風險執(zhí)行實例最快半小時就會遭侵入

網絡攻擊者總是虎視耽耽尋找可乘之機。尤其是企業(yè)開始將應用搬上云計算。AWS執(zhí)行實例因組態(tài)不當導致資料外泄的新聞屢見不鮮。Google Cloud發(fā)現(xiàn)，組態(tài)不當?shù)膱?zhí)行實例，可能最快22秒就會被黑入，用來挖礦、托管惡意程序或是攻擊其他系統(tǒng)等惡意行為。

Google集結威脅分析小組（Threat Analysis Group，TAG）、Chronicle、信任與安全部門的資料，最近公布一份報告，針對50個Google Cloud Platform（GCP）上遭入侵的執(zhí)行實例分析被入侵后的結果。

他們發(fā)現(xiàn)，3/4（75%）遭攻擊的GCP執(zhí)行實例，是源自安全措施不足或使用有問題的第三方軟件。其中48%的受害者賬號或API連接沒有設密碼或使用弱密碼，因此很容易被從外部掃描或暴力破解。26%的受害者則是安裝了有漏洞的第三方軟件所致。其次是因為執(zhí)行實例或第三方軟件組態(tài)不當，以及登錄憑證外泄，像是密鑰在GitHub項目被公開。

黑客攻入GCP執(zhí)行實例花不了太久時間。由于攻擊者不斷掃描IP地址的結果，40%的執(zhí)行實例不用8小時內就被攻破，從執(zhí)行實例從啟動到被黑入、最短可能只需30分鐘。

分析這些受害者之后的命運，近九成（86%）被用來挖礦。由于被黑主要為了挖礦而非竊取信息，因此GCP相信，攻擊者是著眼一群IP地址，而非鎖定特定用戶。受害者其他“用途”則是對其他機器掃描傳輸端口、托管惡意軟件或非授權的內容、發(fā)送垃圾信件，甚至發(fā)動攻擊或分布式阻斷攻擊（DDoS）。

在被用來挖礦的情況中，58%案例是22秒內就成功安裝挖礦軟件。這顯示攻擊者的初始攻擊及后續(xù)下載動作是由腳本指令執(zhí)行，不需用戶交互，因此也幾乎不可能來得及人為介入阻斷。

別的研究也顯示，黑客攻入不安全系統(tǒng)的速度有多快。Palo Alto Networks安全研究中心一項測試發(fā)現(xiàn)，黑客在幾分鐘內就能夠發(fā)現(xiàn)并成功入侵誘捕系統(tǒng)，8成的誘捕系統(tǒng)24小時內即被黑客攻陷。