꿀벌

 

최근 보안 연구원들은 위협 행위자가 노출된 클라우드 서비스를 얼마나 빨리 표적으로 삼는지 확인하기 위해 320개의 허니팟을 설정했으며 그 중 80%가 24시간 내 손상되었다고 발표했다.

공격자들은 내부 네트워크에 액세스하거나 기타 악성 활동을 수행하는 데 악용될 수 있는 노출된 서비스를 찾기 위해 인터넷을 지속적으로 검색한다.

공격자의 표적이 되는 소프트웨어와 서비스를 추적하기 위해 연구원들은 공개적으로 액세스할 수 있는 허니팟을 만들었다. 허니팟은 위협 행위자의 전술을 모니터링하기 위한 미끼로, 다양한 소프트웨어를 실행하는 것처럼 보이도록 구성된 서버다.

이와 관련 팔로알토社 보안팀 Unit 42에서 수행한 새로운 연구에서 연구원들은 320개의 허니팟을 설정했으며 해당 허니팟의 80%가 처음 24시간 내에 손상되었음을 발견했다.

연구원들이 배포한 허니팟에는 원격 데스크탑 프로토콜(RDP), SSH, SMB 및 Postgres 데이터베이스 서비스가 포함되어 있으며 2021년 7월부터 8월까지 활성상태로 유지시켰다. 이 허니팟은 북미, 아시아 태평양 및 유럽 등 전세계에 배포되었다.

분석 결과, 가장 많은 표적이 된 SSH 허니팟의 경우 첫 번째 공격의 평균 시간은 3시간이었고 두 번의 연속 공격 사이의 평균 시간은 약 2시간이었다.

두 번의 연속 공격 사이의 평균 시간

Unit 42는 또한 80개의 Postgres 허니팟 중 96%를 단 30초만에 손상시키는 위협행위자의 주목할 만한 사례를 관찰했다.  새로운 보안 업데이트가 배포되기 전에 위협행위자가 노출된 서비스를 악용하는 데에 몇 시간이면 된다는 사실은 매우 우려스러운 것으로 보여진다.

공격자 IP 대다수(85%)가 신규로 사용되었는데 이는 후속 공격에 동일한 IP를 재사용하는 경우(15%)가 매우 드물다는 것을 의미한다.

이에 연구원들은 공격을 완화할 수 있는 더 나은 기회는 매일 수십 만 개의 악성 IP를 식별하는 네트워크 스캐닝 프로젝트에서 데이터를 가져와 IP를 차단하는 것을 권장하고 있다.

 

[출처 : Bleeping Computer / 11.23.]