它需要黑客60秒才能找到並攻擊易受攻擊的服務器

Vulnerable Servers Are Attacked in Less Than 60 Seconds

電影以及在某種程度上主流媒體讓我們相信組織網絡攻擊需要大量的計劃,充足的資源以及一直心情不好的青少年電腦愛好者。這是一種誤解,對人們查看在線安全的方式產生了深遠的影響。因為他們已經被認為“黑客”(一個也被濫用的公平份額的術語)是一項艱苦的工作,普通用戶認為沒有人會打擾攻擊他們因為努力不值得它。人們越早意識到事實並非如此,那就更好了。為了幫助他們,Sophos的研究人員進行了一項實驗 ,他們證明了你是否會受到攻擊不是“如果”的問題,而是“什麼時候”的問題。而這個問題的答案是“比你想像的還要早”。

設置

Sophos的專家多年來一直在監控威脅形勢。他們確切地知道黑客想要什麼以及他們準備做些什麼來獲得它。研究人員還完全了解硬件供應商,系統管理員和普通用戶在設置連接互聯網設備時所犯的常見配置錯誤。

1月17日,他們故意重複了一些錯誤,並在加利福尼亞州,俄亥俄州,聖保羅州,愛爾蘭,倫敦,巴黎,法蘭克福,孟買,新加坡和悉尼的亞馬遜數據中心設立了蜜罐。正如您可能已經猜到的那樣,蜜罐是一種連接到互聯網的設備,故意容易受到攻擊,以誘使黑客攻擊它。

Sophos使用了低交互蜜罐和高交互蜜罐。低交互蜜罐為攻擊者提供了一個無法繞過的登錄表單,他們幫助Sophos更好地了解攻擊者準備做多少暴力攻擊以及他們使用何種登錄憑據。通過高交互蜜罐,專家們希望了解為什麼黑客攻擊服務器和其他設備以及他們一旦攻擊他們就會做什麼。這就是為什麼,高交互蜜罐允許攻擊者登錄並執行安全shell(SSH)命令。

結果

Sophos從一開始就知道,正如他們所說,“當流程自動化時,每台設備都值得攻擊”,他們也知道在現實世界中,流程是高度自動化的。研究人員預計在實驗開始後很快就會發現第一次攻擊,但即使他們對黑客發現易受攻擊的服務器的速度感到驚訝。服務器上線僅52秒就檢測到聖保羅蜜罐的第一次登錄嘗試。四分鐘後,這些騙子們還試圖對俄亥俄州的蜜罐進行暴力破壞,半小時之內,他們遍布加州,巴黎和悉尼的服務器。找到其餘的蜜罐證明有點困難,但不是很多。在實驗開始大約一小時四十五分鐘後,愛爾蘭的蜜罐註冊了第一次未經授權的登錄嘗試,這意味著所有十台服務器都受到了攻擊。

基於這一切,您可能會認為愛爾蘭的用戶比巴西的用戶更安全,但實際情況並非如此。在短短的30天內,每個Sophos的蜜罐都記錄了成千上萬的登錄嘗試,俄亥俄州的服務器領先整包,共計95萬次嘗試. 平均而言,在十個蜜罐中,黑客試圖每分鐘打破17次或者每小時不到760次 。考慮到這一切,找到一些蜜罐所需的額外時間確實沒有那麼大的差別。

當您考慮有多少設備仍受公共可用的默認登錄憑據保護時,這些數據尤其令人恐懼。不幸的是,黑客也意識到了這一點。

默認用戶名和密碼使得暴力破解變得容易

Sophos在暴力攻擊期間記錄的登錄憑據可以讓我們深入了解騙子所追求的設備類型。例如,* NIX系統上的管理帳戶的默認用戶名是“root”,並且在高達96%的登錄嘗試中使用它。大多數服務器和幾乎所有CCTV攝像機和物聯網小工具都在* NIX操作系統上運行。

可以預見的是 ,黑客在暴力嘗試期間使用的最常見密碼是“123456”,而“密碼”也不甘落後。大多數其他常用密碼都是特定於設備的,包括“raspberry”,這是Raspbian上的默認root密碼 - 一個為Raspberry Pi小型機創建的Linux發行版。

妥協後的運作

Raspberry Pi默認憑據的存在很有意思,因為我們談論的是一個沒有大量資源的設備。黑客認為攻擊它是合理的,一開始可能聽起來有點莫名其妙,但當你看到他們所做的事後,你就會意識到這很有意義。

在Sophos實驗期間收集的數據顯示,在1月份,黑客正在進行高度針對性的攻擊,不需要特別強大的硬件。在突破並確認該設備具有穩定的互聯網連接後,騙子將使用蜜罐作為代理,試圖利用Sophos決定不提及的“主要零售連鎖店”的基礎設施。

正如您所看到的,黑客並不一定對他們正在妥協的設備感興趣。如果他們需要代理,他們會找到一個代理,這意味著即使你設置的東西看起來像連接互聯網的水壺一樣無害,你需要確保設備配置正確。更改默認登錄憑據是第一步。

April 22, 2019

發表評論

重要!若要繼續到下一步,請完成以下簡單的數學問題。
Please leave these two fields as is:
9 + 3是什麼?