受影響平臺：所有操作系統(tǒng)平臺

　　受影響方：教育部門

　　影響：潛在勒索軟件感染、數(shù)據(jù)泄露、教育部門系統(tǒng)受損

　　嚴(yán)重程度：高

　　2021年發(fā)生了幾起影響我們?nèi)粘Ｉ畹闹卮罄账鬈浖录?月初，美國最大的精煉石油管道公司Colonial Pipeline感染了DarkSide勒索軟件。此次感染迫使該公司在進(jìn)行評估時關(guān)閉他們的管道作為預(yù)防措施，導(dǎo)致東海岸加油站排起長隊(duì)。同月晚些時候，REvil勒索軟件攻擊了全球最大的肉類加工商JBS，并擾亂了該公司的肉類生產(chǎn)。7月，REvil再次來襲，影響了托管服務(wù)提供商Kaseya的客戶。攻擊者利用身份驗(yàn)證繞過漏洞在Kaseya VSA（虛擬系統(tǒng)管理員）軟件中，通過軟件管理的主機(jī)向下游客戶傳播惡意負(fù)載。

　　由于勒索軟件團(tuán)伙的主要目標(biāo)是經(jīng)濟(jì)利益，人們普遍認(rèn)為教育部門不在壞人的攻擊目標(biāo)之內(nèi)。然而，聯(lián)邦調(diào)查局（FBI）的一份報告提出了相反的建議。FBI于3月16日發(fā)布了Flash警報，警告公眾PYSA勒索軟件越來越多地針對美國和英國的教育機(jī)構(gòu)。PYSA，也稱為Mespinoza，是“Protect Your System Amigo”的縮寫，被認(rèn)為與Vurten勒索軟件有著密切的聯(lián)系。

　　PYSA于2019年12月首次被發(fā)現(xiàn)。當(dāng)時，它為它加密的文件添加了“。locked”文件擴(kuò)展名，但后來切換到更熟悉的“。pysa”文件擴(kuò)展名。PYSA的入口點(diǎn)通常歸因于三種方法：垃圾郵件、RDP暴露在互聯(lián)網(wǎng)上的Windows主機(jī)入侵，以及對中央管理控制臺和某些Active Directory（AD）帳戶的暴力攻擊。一旦被感染，PYSA會使用各種工具（例如ProcDump、Mimikatz和Advanced IP Scanner）來實(shí)現(xiàn)橫向移動和信息偵察。PYSA是雙重勒索軟件，因?yàn)樗鼜氖芨腥镜臋C(jī)器中竊取信息并加密文件，要求受害者花錢解密他們的文件，而不是向公眾發(fā)布被盜信息。

　　Grief勒索軟件于2021年5月襲擊了密西西比州的一個學(xué)區(qū)。根據(jù)一份公開報告，Grief的泄密網(wǎng)站稱，勒索軟件竊取了10GB的數(shù)據(jù)，包括內(nèi)部文件和個人信息。據(jù)報道，華盛頓州的另一個學(xué)區(qū)和弗吉尼亞州的學(xué)校也遭到Grief襲擊。Grief勒索軟件，也稱為GriefOrPay，被認(rèn)為是DoppelPaymer勒索軟件的改版。

　　DoppelPaymer至少自2019年7月以來一直存在，并且是BitPaymer勒索軟件家族的成員。雖然從DoppelPaymer更名為Grief的原因尚不明確，但它發(fā)生在Colonial Pipeline事件之后。一種理論認(rèn)為，品牌重塑是為了將執(zhí)法部門的注意力從該集團(tuán)身上轉(zhuǎn)移開。勒索軟件團(tuán)伙的工作方式類似于詐騙公司，在從受害者那里騙到足夠的錢后，他們會更改名稱、標(biāo)識和注冊，以轉(zhuǎn)移執(zhí)法部門不必要的注意力。雖然其入侵策略尚未確定，但Grief攻擊可能間接依賴?yán)]件，因?yàn)镈oppelyPaymer有效載荷被認(rèn)為是通過Dridex僵尸網(wǎng)絡(luò)分發(fā)的。另一份報告表明，在一些感染了Grief的機(jī)器中存在Cobalt Strike。

　　Grief也是雙重勒索軟件，要求以Monero加密貨幣支付文件解密的贖金。The Grief團(tuán)伙最近將他們的策略提高了一個檔次。如果受害者聯(lián)系執(zhí)法部門或?qū)I(yè)的贖金談判人員，他們的新贖金信息可能會刪除恢復(fù)加密文件所需的解密密鑰。除了是勒索軟件之外，這實(shí)質(zhì)上使Grief成為一種wiper惡意軟件。

　　根據(jù)一份報告，勒索軟件攻擊在2020年影響了美國近1,800所學(xué)校以及超過130萬名學(xué)生。在此期間，每次事件的贖金從10,000美元到超過100萬美元不等，此外教育機(jī)構(gòu)因停工而額外損失了66.2億美元。雖然攻擊大學(xué)可能不會帶來像攻擊大型企業(yè)那樣獲得大筆贖金，但被盜信息可用于經(jīng)濟(jì)利益，因?yàn)樵S多大學(xué)系統(tǒng)包含寶貴的研究數(shù)據(jù)以及政府機(jī)構(gòu)、國防工業(yè)的聯(lián)系信息和電子郵件、制藥實(shí)驗(yàn)室和其他利用大學(xué)研究人員的私營公司。

　　我們知道，一些勒索軟件即服務(wù)提供商有一項(xiàng)規(guī)則，將他們的活動范圍排除在被視為基礎(chǔ)部門（天然氣、石油、醫(yī)院、核電站等）以及政府部門、軍事和非營利性組織之外，而大多數(shù)教育部門屬于這些范圍。然而，這對他們來說并不是出于什么高尚的目的，他們只是想避免執(zhí)法部門的打擊，當(dāng)這些部門被攻擊時，執(zhí)法部門幾乎沒有容忍度。但他們不能保證其附屬公司將始終遵守這些規(guī)則。考慮到教育部門最近多次成為攻擊目標(biāo)，他們顯然不能免于勒索軟件攻擊。

　　FortiGuard Labs發(fā)現(xiàn)了至少20種針對教育部門的不同勒索軟件感染。這些感染大多數(shù)發(fā)生在美國，其數(shù)量遠(yuǎn)遠(yuǎn)超過其他國家。Pysa和Ryuk勒索軟件家族是最常見的，緊隨其后的是Grief和Babuk勒索軟件。有趣的是，許多著名的勒索軟件變種，例如REvil、Blackmatter、Lockbit、DarkSide和Ragnar Locker，并未被發(fā)現(xiàn)針對學(xué)校。上述政策可能部分解釋了這一點(diǎn)，即一些勒索軟件集團(tuán)對附屬公司施加了限制，禁止他們攻擊衛(wèi)生和教育等特定部門。

　　收集到的與教育部門相關(guān)的電子郵件地址

　　FortiGuard Labs還分析了從OSINT源中提取的域名中包含“。edu”的電子郵件地址列表。2021年5月至2021年8月期間，美國50個州和地區(qū)共收集了138088個屬于美國教育機(jī)構(gòu)的電子郵件地址。收集的電子郵件通常在暗網(wǎng)上出售，可用于未來的攻擊。

　　教育領(lǐng)域的IPS檢測

　　IPS檢測為惡意軟件流行提供了一些有趣的見解。雖然它不能識別所有在野的勒索軟件，但它能捕獲觸發(fā)IPS系統(tǒng)的勒索軟件。下表顯示了2021年8月11日至9月10日期間在美國和全球教育部門觸發(fā)的前五大IPS檢測。該數(shù)據(jù)比較了美國與世界其他地區(qū)的IPS檢測趨勢。這些未經(jīng)過濾的數(shù)據(jù)揭示了哪些網(wǎng)絡(luò)攻擊針對的是教育部門。

　　下表顯示了2021年8月11日至9月10日期間，教育部門內(nèi)部組織觸發(fā)的前五大IPS簽名。請注意，這些數(shù)字沒有針對唯一的機(jī)器進(jìn)行過濾，這意味著實(shí)際影響可能更低。但是這些數(shù)據(jù)仍然提供了有關(guān)過去30天內(nèi)針對教育部門進(jìn)行了多少次掃描和漏洞利用嘗試的情報。此外，這些攻擊并不一定意味著攻擊者以教育機(jī)構(gòu)內(nèi)運(yùn)行的技術(shù)為目標(biāo)。它只是一份由部署在教育部門網(wǎng)絡(luò)中的IPS系統(tǒng)識別和阻止的攻擊記錄。

　　?NTP.Monlist.Command.DoS表示針對NTP服務(wù)中的拒絕服務(wù)漏洞的嘗試。該簽名與CVE-2013-5211有關(guān)。

　　?Nmap.Script.Scanner表示試圖從Nmap腳本引擎掃描程序進(jìn)行掃描，該掃描程序識別目標(biāo)系統(tǒng)正在運(yùn)行的服務(wù)，并根據(jù)其發(fā)現(xiàn)執(zhí)行進(jìn)一步的攻擊。

　　?SolarWinds.SUNBURST.Backdoor表示在網(wǎng)絡(luò)中檢測到SUNBURST后門C2通信。SunBurst是一個后門程序，在2020年末通過受感染的SolarWind的Orion IT監(jiān)控和管理軟件更新系統(tǒng)傳播。

　　?Port.Scanning通過端口掃描器檢測嘗試掃描，該掃描器識別目標(biāo)系統(tǒng)上可用的端口或服務(wù)。

　　?Backdoor.DoublePulsar表明存在DoublePulsar惡意軟件或通過RDP協(xié)議進(jìn)行的掃描嘗試。DoublePulsar是一種后門木馬，它是Shadow Brokers組織在2017年3月泄露的NSA漏洞的一部分，并被用于2017年5月的WannaCry勒索軟件攻擊。

　　?Qualys.Vulnerability.Scanner檢測到Qualys漏洞掃描程序嘗試進(jìn)行的掃描。攻擊者可能會使用掃描器來識別目標(biāo)系統(tǒng)的服務(wù)，并根據(jù)其發(fā)現(xiàn)進(jìn)行進(jìn)一步的攻擊。

　　Nmap.Scirpt.Scanner和Port.Scanning Qualys.Vulnerability.Scanner似乎是教育領(lǐng)域的?？汀Ｎ覀凅@訝地發(fā)現(xiàn)Sunburst后門IPS簽名也占了在美國整體活動的很大比例，但進(jìn)一步調(diào)查顯示，大多數(shù)IPS檢測都屬于美國的一個教育組織。

　　然而，當(dāng)我們在2021年8月11日至9月10日調(diào)查教育部門訪問量最大的一些URL時，Backdoor.DouplePulsar更有意義，因?yàn)樵谖覀兎治鰰r，它的URL導(dǎo)致了Glupteba惡意軟件的變種。Glupteba是一種用Golang編寫的跨平臺木馬類型，主要通過注入合法網(wǎng)站或廣告網(wǎng)絡(luò)的惡意廣告進(jìn)行傳播。我們的分析證實(shí)，從URL下載的Glupteba變體包含一個模塊，用于啟動臭名昭著的EternalBlue漏洞，該漏洞由美國國家安全局（NSA）開發(fā)，并于2017年被ShadowBrokers黑客組織泄露。該漏洞隨后被用于臭名昭著的Wannacry和Petya攻擊。接觸惡意URL的計算機(jī)可能已經(jīng)下載并安裝了Glupteba惡意軟件。Glupteba隨后利用EternalBlue傳播DoublePulsar，這是ShadowBrokers披露的后門植入程序，可以執(zhí)行其他惡意代碼。這種情況很好地解釋了為什么會觸發(fā)Backdoor.DouplePulsar簽名。該檢測在巴西、南非和印度觀察到最多，占Backdoor.DouplePulsar檢測觸發(fā)總數(shù)的70%。

　　教育領(lǐng)域的僵尸網(wǎng)絡(luò)和AV檢測

　　接下來，我們比較了在美國和全球觀察到的僵尸網(wǎng)絡(luò)活動，以找出趨勢。結(jié)果證明他們幾乎是同步的。與記錄被阻止攻擊的IPS觸發(fā)器不同，僵尸網(wǎng)絡(luò)檢測表明網(wǎng)絡(luò)中存在活躍的僵尸網(wǎng)絡(luò)惡意軟件。Mirai IoT僵尸網(wǎng)絡(luò)在這兩個地區(qū)均處于領(lǐng)先地位，其次是Gh0st Rat和Zeroaccess。它們加起來占美國和全球教育部門僵尸網(wǎng)絡(luò)活動的50%以上。由于這三個僵尸網(wǎng)絡(luò)的惡意軟件源代碼很容易獲得，教育部門是僵尸網(wǎng)絡(luò)攻擊者的潛在目標(biāo)。

　　下圖顯示了2021年8月11日至9月10日在美國和全球教育部門觀察到的五大AV檢測結(jié)果。此數(shù)據(jù)表明在此期間阻止了哪些惡意軟件。

　　Cryxos是在美國和世界范圍內(nèi)最常見的惡意軟件。這種惡意JavaScript變體通常與虛假呼叫支持詐騙有關(guān)。它顯示了一個虛假的彈出警告，表明受害者的機(jī)器存在嚴(yán)重問題。受害者被進(jìn)一步指示呼叫支持以進(jìn)行虛假修復(fù)，否則他們將有丟失敏感數(shù)據(jù)的風(fēng)險。詐騙者然后通過信用卡或禮品卡要求付款。其他常見的攻擊包括：

　　?W32/Swizzor!B.tr是一種已經(jīng)存在多年的老式Windows惡意軟件。該惡意軟件旨在在目標(biāo)計算機(jī)上顯示不需要的廣告或下載和執(zhí)行遠(yuǎn)程文件。因此，感染了Swizzor的設(shè)備可能會表現(xiàn)出已知與惡意軟件相關(guān)的其他行為（即數(shù)據(jù)泄露）。

　　?JS/Miner.BP!tr是一種惡意javascript，它在用戶不知情的情況下挖掘加密貨幣。受害者的機(jī)器可能會出現(xiàn)性能下降和耗電量增加的情況。

　　?W32/Agent.DRI!tr.dldr是一種特洛伊木馬惡意軟件，旨在下載和執(zhí)行遠(yuǎn)程文件。就像Switzor一樣，感染了這種惡意軟件的機(jī)器可能會表現(xiàn)出惡意行為。

　　? W32/RanumBot.X!tr是一種特洛伊木馬程序，它會打開后門并等待來自其命令和控制服務(wù)器的命令。它的行為取決于它接收到的遠(yuǎn)程命令。

　　結(jié)論

　　與任何其他行業(yè)一樣，教育機(jī)構(gòu)也不能免于網(wǎng)絡(luò)攻擊。后門感染會導(dǎo)致信息泄露，或者竊取學(xué)生、家長和教職員工的PII，這對機(jī)構(gòu)的研究工作至關(guān)重要。公開的攻擊可能會導(dǎo)致其附屬公司和合作伙伴的財務(wù)損失、品牌損害以及信心和聲譽(yù)的喪失。更糟糕的是，勒索軟件不僅可以針對易受攻擊的網(wǎng)絡(luò)部署，還可以在黑市上將對受損網(wǎng)絡(luò)的訪問權(quán)賣給其他勒索軟件團(tuán)伙。

　　從幾乎所有此類研究中得出的最重要結(jié)論之一是，犯罪分子絕大多數(shù)利用可用補(bǔ)丁來針對已知漏洞。這使得網(wǎng)絡(luò)安全衛(wèi)生成為重中之重。同樣，它再次強(qiáng)調(diào)了備份關(guān)鍵數(shù)據(jù)的必要性。如果未實(shí)施定期備份或管理不當(dāng)，則機(jī)構(gòu)可能會花費(fèi)數(shù)十萬美元來更換受影響的設(shè)備。但是，即使受害者已獲得備份并制定了出色的恢復(fù)計劃，攻擊者仍會威脅要泄露被盜數(shù)據(jù)。如果沒有支付贖金，他們就會在暗網(wǎng)上發(fā)布所有內(nèi)容。因此，必須針對勒索軟件制定可靠的預(yù)防和恢復(fù)計劃，包括對所有靜態(tài)數(shù)據(jù)進(jìn)行加密。

　　同樣，僵尸網(wǎng)絡(luò)對那些成為攻擊者基礎(chǔ)設(shè)施一部分的組織來說是一種間接威脅。攻擊者可以利用他們的帶寬對其他方發(fā)起DDoS攻擊，橫向移動到其他機(jī)構(gòu)，或者利用計算能力進(jìn)行加密挖掘或其他非法目的。這最終將導(dǎo)致這些受害者的生產(chǎn)力和收入損失。

　　今年早些時候Fortinet發(fā)表了一篇題為“影響教育網(wǎng)絡(luò)安全的威脅”的博客中的以下聲明，值得我們多次強(qiáng)調(diào)：

　　“眾所周知，與攻擊預(yù)防相關(guān)的成本和工作量往往遠(yuǎn)低于成功攻擊的后果所帶來的相關(guān)成本。因此，在教育網(wǎng)絡(luò)安全及其他領(lǐng)域，投資于全面的網(wǎng)絡(luò)安全戰(zhàn)略不僅可以保護(hù)敏感數(shù)據(jù)和基礎(chǔ)設(shè)施，還有助于降低成本?！?/p>