它需要黑客60秒才能找到并攻击易受攻击的服务器

Vulnerable Servers Are Attacked in Less Than 60 Seconds

电影以及在某种程度上主流媒体让我们相信组织网络攻击需要大量的计划,充足的资源以及一直心情不好的青少年电脑爱好者。这是一种误解,对人们查看在线安全的方式产生了深远的影响。因为他们已经被认为“黑客”(一个也被滥用的公平份额的术语)是一项艰苦的工作,普通用户认为没有人会打扰攻击他们因为努力不值得它。人们越早意识到事实并非如此,那就更好了。为了帮助他们,Sophos的研究人员进行了一项实验 ,他们证明了你是否会受到攻击不是“如果”的问题,而是“什么时候”的问题。而这个问题的答案是“比你想象的还要早”。

设置

Sophos的专家多年来一直在监控威胁形势。他们确切地知道黑客想要什么以及他们准备做些什么来获得它。研究人员还完全了解硬件供应商,系统管理员和普通用户在设置连接互联网设备时所犯的常见配置错误。

1月17日,他们故意重复了一些错误,并在加利福尼亚州,俄亥俄州,圣保罗州,爱尔兰,伦敦,巴黎,法兰克福,孟买,新加坡和悉尼的亚马逊数据中心设立了蜜罐。正如您可能已经猜到的那样,蜜罐是一种连接到互联网的设备,故意容易受到攻击,以诱使黑客攻击它。

Sophos使用了低交互蜜罐和高交互蜜罐。低交互蜜罐为攻击者提供了一个无法绕过的登录表单,他们帮助Sophos更好地了解攻击者准备做多少暴力攻击以及他们使用何种登录凭据。通过高交互蜜罐,专家们希望了解为什么黑客攻击服务器和其他设备以及他们一旦攻击他们就会做什么。这就是为什么,高交互蜜罐允许攻击者登录并执行安全shell(SSH)命令。

结果

Sophos从一开始就知道,正如他们所说,“当流程自动化时,每台设备都值得攻击”,他们也知道在现实世界中,流程是高度自动化的。研究人员预计在实验开始后很快就会发现第一次攻击,但即使他们对黑客发现易受攻击的服务器的速度感到惊讶。服务器上线仅52秒就检测到圣保罗蜜罐的第一次登录尝试。四分钟后,这些骗子们还试图对俄亥俄州的蜜罐进行暴力破坏,半小时之内,他们遍布加州,巴黎和悉尼的服务器。找到其余的蜜罐证明有点困难,但不是很多。在实验开始大约一小时四十五分钟后,爱尔兰的蜜罐注册了第一次未经授权的登录尝试,这意味着所有十台服务器都受到了攻击。

基于这一切,您可能会认为爱尔兰的用户比巴西的用户更安全,但实际情况并非如此。在短短的30天内,每个Sophos的蜜罐都记录了成千上万的登录尝试,俄亥俄州的服务器领先整包,共计95万次尝试. 平均而言,在十个蜜罐中,黑客试图每分钟打破17次或者每小时不到760次 。考虑到这一切,找到一些蜜罐所需的额外时间确实没有那么大的差别。

当您考虑有多少设备仍受公共可用的默认登录凭据保护时,这些数据尤其令人恐惧。不幸的是,黑客也意识到了这一点。

默认用户名和密码使得暴力破解变得容易

Sophos在暴力攻击期间记录的登录凭据可以让我们深入了解骗子所追求的设备类型。例如,* NIX系统上的管理帐户的默认用户名是“root”,并且在高达96%的登录尝试中使用它。大多数服务器和几乎所有CCTV摄像机和物联网小工具都在* NIX操作系统上运行。

可以预见的是 ,黑客在暴力尝试期间使用的最常见密码是“123456”,而“密码”也不甘落后。大多数其他常用密码都是特定于设备的,包括“raspberry”,这是Raspbian上的默认root密码 - 一个为Raspberry Pi小型机创建的Linux发行版。

妥协后的运作

Raspberry Pi默认凭据的存在很有意思,因为我们谈论的是一个没有大量资源的设备。黑客认为攻击它是合理的,一开始可能听起来有点莫名其妙,但当你看到他们所做的事后,你就会意识到这很有意义。

在Sophos实验期间收集的数据显示,在1月份,黑客正在进行高度针对性的攻击,不需要特别强大的硬件。在突破并确认该设备具有稳定的互联网连接后,骗子将使用蜜罐作为代理,试图利用Sophos决定不提及的“主要零售连锁店”的基础设施。

正如您所看到的,黑客并不一定对他们正在妥协的设备感兴趣。如果他们需要代理,他们会找到一个代理,这意味着即使你设置的东西看起来像连接互联网的水壶一样无害,你需要确保设备配置正确。更改默认登录凭据是第一步。

April 22, 2019

发表评论

重要!若要继续到下一步,请完成以下简单的数学问题。
Please leave these two fields as is:
8 + 9是什么?