云实例遭入侵主要源自弱口令或无口令

谷歌云平台（GCP）上运行的云实例若配置不当，遭网络罪犯侵入后仅22秒，加密货币挖矿机就在上面欢快地奔腾了。

截至目前，加密货币挖矿是攻击者拿下错误配置的GCP云实例后进行的主要恶意活动，占入侵后所有恶意操作的86%。 

很多情况下，攻击者动作相当迅速，侵入云实例后几乎是即时安装加密货币挖矿恶意软件，肆意搭乘他人CPU和GPU资源便车为自己谋福利。 

谷歌日前首次发布的《云威胁情报》报告中写道：“对用于执行未授权加密货币挖矿的多个系统进行分析（随附时间线信息），我们可以看出：58%的情况下，加密货币挖矿软件在侵入后22秒内即下载到了系统上。”

此外，攻击者找出并入侵联网不安全实例的速度也令人震惊。最快纪录是此类实例部署后仅30分钟就被入侵了。40%的情况下，从部署到遭入侵的时间间隔不足八小时。 

安全公司Palo Alto Networks的发现与谷歌类似：面向互联网的320个云“蜜罐”实例（用于吸引攻击者）中，80%在部署后24小时内遭入侵。 

正如谷歌的报告所昭示的，加密货币挖矿恶意软件是GCP上未采取云实例防护措施的用户所遭遇的一大问题。 

谷歌指出：“随着恶意黑客开始进行多种形式的滥用，尽管数据盗窃似乎不是此类攻击的目标，却仍然形成了与云资产泄露相关的风险。面向公共互联网的云实例对扫描和暴力破解攻击敞开了大门。” 

面向互联网的GCP示例是攻击者的重点目标。近半数实例遭入侵是由于用户账户或API连接没有设置口令或仅设置了弱口令，导致攻击者可以实施扫描和暴力破解，轻松获得实例的访问权。

“这表明攻击者经常扫描公共IP地址空间，意图扫出防护不周的云实例。脆弱云实例被探测出来只不过是时间问题。”

此外，26%的云实例遭入侵是因为云实例拥有者采用的第三方软件存在漏洞。

谷歌云首席信息安全官办公室主任Bob Mechler称：“很多攻击得以成功实施都是因为网络防护不周和缺乏基本控制措施。”

该报告由谷歌网络安全行动小组（GCAT）编撰，总结了谷歌威胁分析小组（TAG）、谷歌云安全与信任中心，以及Chronicle谷歌云威胁情报、信任与安全等内部团队去年的观察所得。