Злоумышленники находят уязвимые службы и взламывают их за 24 часа

13
Как киберпреступники скорректировали свои аферы к Черной пятнице 2021 года

Исследователи создали 320 приманок, чтобы увидеть, как быстро злоумышленники будут атаковать открытые облачные сервисы, и сообщили, что 80% из них были взломаны менее чем за 24 часа.

Злоумышленники постоянно сканируют Интернет в поисках незащищенных служб, которые могут быть использованы для доступа к внутренним сетям или выполнения других вредоносных действий.

Чтобы отследить, какое программное обеспечение и услуги являются целью злоумышленников, исследователи создают общедоступные приманки. Приманки — это серверы, настроенные так, чтобы они выглядели так, как будто на них запущено различное программное обеспечение, в качестве приманки для отслеживания тактики злоумышленников.

Соблазнительная приманка

В новом исследовании, проведенном подразделением 42 Palo Altos Networks, исследователи установили 320 приманок и обнаружили, что 80% приманок были взломаны в течение первых 24 часов.

Развернутые приманки включали в себя приманки с протоколом удаленного рабочего стола (RDP), протоколом защищенной оболочки (SSH), блоком сообщений сервера (SMB) и службами баз данных Postgres и поддерживались с июля по август 2021 года.

Эти приманки были развернуты по всему миру, в том числе в Северной Америке, Азиатско-Тихоокеанском регионе и Европе.

Как передвигаются злоумышленники

Время до первого компромисса аналогично тому, насколько нацелен тип службы.

Для приманок SSH, которые были наиболее целенаправленными, среднее время первого взлома составило три часа, а среднее время между двумя последовательными атаками — около 2 часов.

Unit 42 также наблюдал примечательный случай, когда злоумышленник взломал 96% из 80 экспериментальных приманок Postgres всего за 30 секунд.

Это открытие очень тревожно, поскольку для развертывания новых обновлений безопасности по мере их выпуска могут потребоваться дни, если не больше, в то время как злоумышленникам нужны часы, чтобы использовать уязвимые службы.

Наконец, что касается того, имеет ли место какое-либо значение, регион APAC привлек наибольшее внимание со стороны злоумышленников.

Брандмауэры помогают?

Подавляющее большинство (85%) IP-адресов злоумышленников наблюдались в течение одного дня, что означает, что субъекты редко (15%) повторно используют один и тот же IP-адрес при последующих атаках.

Это постоянное изменение IP-адреса делает правила межсетевого экрана третьего уровня неэффективными против большинства злоумышленников.

Что может иметь больше шансов смягчить атаки, так это блокировка IP-адресов путем извлечения данных из проектов сканирования сети, которые ежедневно выявляют сотни тысяч вредоносных IP-адресов.

Однако Unit 42 проверил эту гипотезу на подгруппе из 48 приманок и обнаружил, что блокировка более 700 000 IP-адресов не имеет существенной разницы в количестве атак между подгруппой и контрольной группой.

Для эффективной защиты облачных сервисов Unit 42 рекомендует администраторам сделать следующее:

  • Создайте ограждение для предотвращения открытия привилегированных портов.
  • Создайте правила аудита для мониторинга всех открытых портов и открытых сервисов.
  • Создавайте правила автоматического ответа и исправления для автоматического исправления ошибок конфигурации.
  • Разверните межсетевые экраны нового поколения (WFA или серии VM) перед приложениями.

Наконец, всегда устанавливайте последние обновления безопасности по мере их появления, поскольку злоумышленники спешат использовать эксплойты для новых уязвимостей по мере их публикации.

ОСТАВЬТЕ ОТВЕТ

Please enter your comment!
Please enter your name here