Google發(fā)現(xiàn)這類高風(fēng)險執(zhí)行實(shí)例最快半小時就會遭侵入

網(wǎng)絡(luò)攻擊者總是虎視耽耽尋找可乘之機(jī)。尤其是企業(yè)開始將應(yīng)用搬上云計(jì)算。AWS執(zhí)行實(shí)例因組態(tài)不當(dāng)導(dǎo)致資料外泄的新聞屢見不鮮。Google Cloud發(fā)現(xiàn)，組態(tài)不當(dāng)?shù)膱?zhí)行實(shí)例，可能最快22秒就會被黑入，用來挖礦、托管惡意程序或是攻擊其他系統(tǒng)等惡意行為。

Google集結(jié)威脅分析小組（Threat Analysis Group，TAG）、Chronicle、信任與安全部門的資料，最近公布一份報告，針對50個Google Cloud Platform（GCP）上遭入侵的執(zhí)行實(shí)例分析被入侵后的結(jié)果。

他們發(fā)現(xiàn)，3/4（75%）遭攻擊的GCP執(zhí)行實(shí)例，是源自安全措施不足或使用有問題的第三方軟件。其中48%的受害者賬號或API連接沒有設(shè)密碼或使用弱密碼，因此很容易被從外部掃描或暴力破解。26%的受害者則是安裝了有漏洞的第三方軟件所致。其次是因?yàn)閳?zhí)行實(shí)例或第三方軟件組態(tài)不當(dāng)，以及登錄憑證外泄，像是密鑰在GitHub項(xiàng)目被公開。

黑客攻入GCP執(zhí)行實(shí)例花不了太久時間。由于攻擊者不斷掃描IP地址的結(jié)果，40%的執(zhí)行實(shí)例不用8小時內(nèi)就被攻破，從執(zhí)行實(shí)例從啟動到被黑入、最短可能只需30分鐘。

分析這些受害者之后的命運(yùn)，近九成（86%）被用來挖礦。由于被黑主要為了挖礦而非竊取信息，因此GCP相信，攻擊者是著眼一群IP地址，而非鎖定特定用戶。受害者其他“用途”則是對其他機(jī)器掃描傳輸端口、托管惡意軟件或非授權(quán)的內(nèi)容、發(fā)送垃圾信件，甚至發(fā)動攻擊或分布式阻斷攻擊（DDoS）。

在被用來挖礦的情況中，58%案例是22秒內(nèi)就成功安裝挖礦軟件。這顯示攻擊者的初始攻擊及后續(xù)下載動作是由腳本指令執(zhí)行，不需用戶交互，因此也幾乎不可能來得及人為介入阻斷。

別的研究也顯示，黑客攻入不安全系統(tǒng)的速度有多快。Palo Alto Networks安全研究中心一項(xiàng)測試發(fā)現(xiàn)，黑客在幾分鐘內(nèi)就能夠發(fā)現(xiàn)并成功入侵誘捕系統(tǒng)，8成的誘捕系統(tǒng)24小時內(nèi)即被黑客攻陷。