新冠肺炎疫情期間,醫療和在線教育成為民生焦點。在此特殊時期,黑客都在幹什麼?主要瞄準哪些目標?企業該如何防範?騰訊安全平臺部天幕團隊聯合騰訊桌面安全產品、雲鼎實驗室、安全專家諮詢、雲安全等團隊,選取騰訊雲上醫療和教育兩大焦點行業,結合團隊實戰經驗做出安全分析,希望對各企業應對特殊時期的遠程辦公安全威脅有一定的幫助。
攻擊總體動向:黑客眼中的天時,地利,人和
- 年前,1月19日、1月22日等日子是企業的“封網”時期,也是黑客的“騷動期”。企業“封網”使安全策略更新的時效性較平日差,因此引來黑客試圖乘虛而入,攻擊量達到高峰節點。
- 年後,遠程辦公環境下,一本(字典)萬利(權限)的認證暴力猜解成為黑客最常採用的手法。在1月31日(正月初七)往年開工首日,對醫療行業的攻擊達到了單日80萬次的高峰。Windows生態中的遠程桌面服務RDP和數據庫服務SQL Server成為佔絕對大頭的“軟柿子”。
- 春節期間,境外黑客不過年,針對雲上醫療行業客戶的認證暴力猜解攻擊超過70%來自境外 125個國家。美國區域機房管控趨嚴,使美國成為攻擊源的“冷門片區”,印度、俄羅斯躍居前列。
- 相較於境外,境內黑客更傾向利用高危Nday漏洞對教育行業發起攻擊。由於此類手法“動靜”較小,加上國內撥號IP資源集中的現狀,黑客傾向使用動態秒撥IP技術企圖瞞天過海、規避封禁。
- 相對於傳統的醫療行業,在線教育行業在業務研發上相對“激進”,中小企業研發的快速落地帶來第三方組件濫用,因此高危漏洞頻出的ThinkPHP、Struts2、RDP成為黑客近期攻擊教育行業的“突破口”。
- 疫情期間,大量企業依託雲實現了遠程辦公、信息發佈及各類小程序等業務的快速上線和迭代。企業在享受雲帶來的業務高效彈性交付的同時,雲服務使用過程中的不當安全配置,例如對象存儲桶權限、雲主機安全組配置、雲SSL證書有效期、雲負載均衡端口暴露等,也成為黑客針對雲上業務的重點“攻擊面”。
以下分別是針對醫療、教育兩大行業的威脅場景詳析:
1. 醫療行業:RDP,SQL Server成軟柿子
企業在疫情期間為了員工遠程辦公便利,往往對外開放遠程服務,直通敏感信息系統甚至辦公內網。因此除黑客正面突破最常用的Web類攻擊,認證暴力猜解值得重點關注。
從目標和手法上看,黑客針對Windows服務攻擊突增,遠程桌面服務RDP和Windows生態的數據庫服務MicrosoftSQL Server作為企業的系統權限和敏感數據入口,自然成為了熱門目標,針對2個“軟柿子”的攻擊量在年後雙雙達到高峰。
認證暴力猜解目標:rdp\\sqlserver成熱門目標,隨年關返工潮突增
從攻擊源分佈上看,美國VPS廠商或VPS廠商在美國區域機房管控趨嚴,對這種網絡上“動作”較大的攻擊行為的約束,讓更多黑客把武器資源逐步遷移到其他“冷門片區”。
認證暴力猜解有超過半數來自境外,即使在春節期間攻勢沒有特別明顯的下降趨勢,但也能看出部分人在境內的黑客暫停了手裡的境外資源。與此對應的是,傳統Web攻擊源絕大部分來自境內,春節期間攻勢迅速下降達到了低谷。
認證暴力猜解攻擊源:境外異常活躍,美國成冷門片區
基於團隊長期在安全分析和威脅情報跟蹤方面的經驗,作為Windows生態下的系統權限和敏感數據入口,近期接連爆發WannaCry級別的漏洞(BlueKeep、CVE-2020-0618),可預見從預警通告到PoC流傳再到在野EXP的節奏加快,企業對0day/1day漏洞的響應時間窗若再以小時來計算,將損失慘重。
2. 教育行業:ThinkPHP,Struts2,RDP成熱門目標
新興的教育行業相對傳統保守的醫療行業,在業務研發上往往更為“激進”,中小企業快速迭代的研發節奏,帶來難以避免的第三方開源組件的大量使用。這對手中收集了大量1Day,Nday漏洞的黑客,很可能在一輪資產指紋識別後,即可啟動大規模刺探甚至利用。
從目標和手法上看,ThinkPHP作為流行的快速搭建網站的框架,Struts2作為Java Web生態下流行的MVC框架,分別是2個語言生態下高危漏洞頻出的代表框架,非常容易成為黑客的攻破目標,若無及時打補丁,使用其的教育行業將面臨較大的威脅。
而距今不久前爆發的Windows RDP BlueKeep漏洞仍然較多地被利用刺探,尤其是在遠程辦公中一旦開啟服務即可能中招,被黑客迅速拿到服務器權限。
高危Nday漏洞利用:ThinkPHP,Struts2,RDP成熱門目標
從攻擊源分佈上看,高危Nday漏洞利用有絕大部分來自境內,少部分來自美印等地區,猜測由於此類手法需發出的“動靜”較小,往往僅對目標發出1次請求即可驗證或利用。
高危Nday漏洞攻擊源:境內活躍,境外相對較少
此外,由於國內秒撥IP池資源的集中,黑客傾向於使用此類技術快速刺探企業所有服務,同時利用隨機變換客戶端發包特徵(如User-Agent,無關參數等)規避傳統封禁策略。
遠程辦公期間對企業的安全建議
- 企業在特殊時期更需重視安全策略的響應效率,避免對止損時效性的人為鬆懈或客觀限制。除具備實時網絡流量分析能力外,企業應重視實時阻斷網絡攻擊能力建設,降低依賴人為運營變更策略的時間差風險。
- 黑客遷徙成本低,時刻往對發起攻擊有利的環境且看似“冷門”的位置轉移。企業應開始審視掌握的威脅情報數據,維度豐富性和更新時效性,避免安全分析落入盲區。
- 遠程辦公是企業網絡邊界模糊時期,企業需提早預知對外暴露的脆弱點,對打通網絡邊界認證入口的全面布控,阻斷網絡異常行為。實時資產盤點能力尤為重要,網絡流量除了可監控網絡攻擊外,也是幫助企業實時測繪資產關聯與盤點資產指紋的利器。
- 利用雲戰場中安全防護經驗和多維度威脅情報大數據的優勢,對AI模型的長期訓練與調優,是安平天幕團隊多次在重保戰場中精準發現各類攻擊繞過手法(秒撥IP技術,新型攻擊變種)的關鍵原因。 安全團隊在持續對抗的戰場中利用AI算法結合大數據訓練,補齊傳統策略泛化能力的先天不足,才能緊跟黑客技術的演化。
- 漏洞情報在國內渠道披露相對滯後,近期使用非HTTP協議組件的漏洞頻發。僅具備傳統Web層面防護的企業容易被針對打擊。企業應重視漏洞威脅情報的時效性,選擇支持網絡層虛擬熱補丁的NIPS產品,為業務代碼級修復爭取時間。
- 針對雲上部署的相關業務,建立雲原生的“CMDB”,做好業務基礎設施資產的實時自動化盤點,並對雲產品的原生安全配置進行自動化的定期檢查與及時加固,縮小云上“攻擊面”。針對雲上頻繁變化的環境,建立威脅事件的自動化響應平臺,提高威脅響應處置。企業應當 建立雲原生的安全運營平臺,打通隔離的數據與流程,實現“事前-事中-事後”全流程的安全保障,並通過安全可視化能力,提升威脅感知、響應處置和安全管理效率。
- 特殊時期企業需要重點關注線上數字化業務的三類安全問題:未授權訪問類、信息洩漏類和數據加密類,尤其需要關注最新的安全威脅情報,及時修復最近披露的公用組件漏洞,如Apache Tomcat等,並升級IDS、IPS產品規則庫,同時把組件更新至最新版本。
閱讀更多 騰訊技術工程 的文章
