根据安全公司Rapid7的最新研究,黑客正在积极扫描和攻击云。在一项类似的研究中,Rapid7在全球六大云(Amazon Web Services,Microsoft Azure,Digital Ocean,Rackspace,Google Cloud Platform和IBM SoftLayer)上部署了自己的蜜罐网络。攻击实际上正在发生。
Rapid7将其蜜罐工作称为“海森堡云计划”。该公司首席数据科学家鲍勃·鲁迪斯(Bob Rudis)告诉eWEEK,该公司开发了整个代理框架,包括部署,管理,监视和数据收集组件。
Rudis说:“在框架内使用了定制的Rapid7开发的低和中交互性蜜罐,以及开源软件,如牛仔帽。” “该框架支持将任何类型的蜜罐部署到任何Heisenberg节点,并且在每个代理下面是一个完整的PCAP监视和捕获框架,该框架以Go语言编写,以增强可移植性。
海森堡”这个名字是对德国理论物理学家维尔纳·海森堡的致敬,他著名地提出了海森堡不确定性原理。尽管海森堡以不确定性着称,但鲁迪斯表示,Rapid7可以肯定海森堡网络的存在,因为它由一个称为Sommerfield的管理框架进行监督(Arnold Sommerfield是Heisenberg的博士生顾问)。
海森堡蜜罐不扫描云供应商的漏洞。而是部署它们,等待正在积极扫描云以寻找潜在漏洞的其他人对其进行扫描。Rudis强调说,Rapid7研究的关键要素是该公司遵守云提供商的服务条款,并且不会从蜜罐中生成外部通信。
Rapid7研究团队的早期假设是,对各种云供应商的攻击将是随机分布的。事实证明,事实并非如此,例如,与其他任何云提供商相比,更多的攻击者在Google上扫描端口443(HTTPS)。
“由于Google在面向客户的云环境中增加容量的方式,某些以前称为“ Google”的子网可以标记为“ Google Cloud”,并且可能是攻击者将更多精力放在了Google IPv4空间上,而不一定面向客户的目标云。” Rudis说。
此外,鲁迪斯(Rudis)指出,包括Google在内的许多提供商确实对其环境进行了主动侦察。另外,谷歌拥有自己的网络抓取机器人。
Mirai物联网(IoT)僵尸网络似乎在所有云提供商之间都非常一致,这是云扫描的一个领域。据称,Mirai是僵尸网络,它是针对欧洲互联网服务提供商OVH的1T-bps攻击以及最近针对DNS提供商Dyn的分布式拒绝服务(DDoS)攻击的背后的僵尸网络。
Rudis说:“我们看到在每个云提供商的每个区域进行Mirai扫描。”
据Rudis称,自10月8日以来,海森堡云计划僵尸网络项目捕获了100,000个与Mirai相似的IPv4地址。但是,这并不意味着Mirai僵尸网络仅由100,000个设备组成,因为Rapid7仅捕获了六个云提供商中的Mirai活动。
“尽管我们知道Mirai僵尸网络代码并未排除云空间,但我们并不希望看到我们能够实现的Mirai数量,” Rudis说。