「黑客」对医疗行业单日攻击80万次！一文揭露疫情期间黑客都干了什么 |传染病|MicrosoftSQLServer|Windows|

新冠肺炎疫情期间，医疗和在线教育成为民生焦点。在此特殊时期，黑客都在干什么？主要瞄准哪些目标？企业该如何防范？腾讯安全平台部天幕团队联合腾讯桌面安全产品、云鼎实验室、安全专家咨询、云安全等团队，选取腾讯云上医疗和教育两大焦点行业，结合团队实战经验做出安全分析，希望对各企业应对特殊时期的远程办公安全威胁有一定的帮助。
攻击总体动向：黑客眼中的天时，地利，人和

年前， 1月19日、1月22日等日子是企业的“封网”时期，也是黑客的“骚动期” 。企业“封网”使安全策略更新的时效性较平日差，因此引来黑客试图乘虚而入，攻击量达到高峰节点。
年后，远程办公环境下，一本（字典）万利（权限）的认证暴力猜解成为黑客最常采用的手法。在1月31日（正月初七）往年开工首日，对医疗行业的攻击达到了单日80万次的高峰。 Windows生态中的远程桌面服务RDP和数据库服务SQL Server成为占绝对大头的“软柿子” 。
春节期间，境外黑客不过年，针对云上医疗行业客户的认证暴力猜解攻击超过70%来自境外125个国家。美国区域机房管控趋严，使美国成为攻击源的“冷门片区” ，印度、俄罗斯跃居前列。
相较于境外，境内黑客更倾向利用高危Nday漏洞对教育行业发起攻击。由于此类手法“动静”较小，加上国内拨号IP资源集中的现状，黑客倾向使用动态秒拨IP技术企图瞒天过海、规避封禁。
相对于传统的医疗行业，在线教育行业在业务研发上相对“激进” ，中小企业研发的快速落地带来第三方组件滥用，因此高危漏洞频出的ThinkPHP、Struts2、RDP成为黑客近期攻击教育行业的“突破口” 。
疫情期间，大量企业依托云实现了远程办公、信息发布及各类小程序等业务的快速上线和迭代。企业在享受云带来的业务高效弹性交付的同时，云服务使用过程中的不当安全配置，例如对象存储桶权限、云主机安全组配置、云SSL证书有效期、云负载均衡端口暴露等，也成为黑客针对云上业务的重点“攻击面” 。

以下分别是针对医疗、教育两大行业的威胁场景详析：
1. 医疗行业：RDP ， SQL Server成软柿子
企业在疫情期间为了员工远程办公便利，往往对外开放远程服务，直通敏感信息系统甚至办公内网。因此除黑客正面突破最常用的Web类攻击，认证暴力猜解值得重点关注。
【「黑客」对医疗行业单日攻击80万次！一文揭露疫情期间黑客都干了什么】
从目标和手法上看，黑客针对Windows服务攻击突增，远程桌面服务RDP和Windows生态的数据库服务MicrosoftSQL Server作为企业的系统权限和敏感数据入口，自然成为了热门目标，针对2个“软柿子”的攻击量在年后双双达到高峰。

本文插图
认证暴力猜解目标：rdp\sqlserver成热门目标，随年关返工潮突增
从攻击源分布上看，美国VPS厂商或VPS厂商在美国区域机房管控趋严，对这种网络上“动作”较大的攻击行为的约束，让更多黑客把武器资源逐步迁移到其他“冷门片区” 。
认证暴力猜解有超过半数来自境外，即使在春节期间攻势没有特别明显的下降趋势，但也能看出部分人在境内的黑客暂停了手里的境外资源。与此对应的是，传统Web攻击源绝大部分来自境内，春节期间攻势迅速下降达到了低谷。

本文插图
认证暴力猜解攻击源：境外异常活跃，美国成冷门片区
基于团队长期在安全分析和威胁情报跟踪方面的经验，作为Windows生态下的系统权限和敏感数据入口，近期接连爆发WannaCry级别的漏洞（BlueKeep、CVE-2020-0618），可预见从预警通告到PoC流传再到在野EXP的节奏加快，企业对0day/1day漏洞的响应时间窗若再以小时来计算，将损失惨重。