解析教育行业网络攻击的深刻教训

在2025年最后一个季度，我们利用安全平台遥测数据，分析了威胁组织用于获取教育行业目标访问权限的技术。

观察到的三种最常见攻击手法是凭据访问、执行和初始访问。每一类别都包含攻击者采用的多种不同子方法。

凭据访问

凭据访问正如其名，是在我们追踪的所有攻击中最常见的策略，约占30%。本质上，对手使用不同的方法来获取合法的用户名、密码和其他数据，以便能够像普通用户一样访问系统。

到目前为止，获取凭据最常见的方式是通过暴力破解（MITRE ATT&CK框架中的T1110）攻击，占所有事件的96%。其次是凭据转储（T1003）和窃取，占3%，以及伪造Kerberos票据（T1558）。

进行暴力破解的攻击者通常从广泛的侦察开始，通过机构目录、社交媒体资料、研究出版物和泄露的凭据数据库等公开来源收集有效的用户名。然后，这些收集到的凭据会被系统地针对面向公众的身份验证门户、学习管理系统、电子邮件平台和管理界面进行测试。

虽然许多机构已对VPN访问实施了多因素身份验证（MFA），但攻击者仍可能通过诸如MFA疲劳攻击、利用薄弱的注册或重置程序，以及针对具有MFA豁免的账户等技术找到绕过这些控制的机会。

一旦攻击者通过被泄露的凭据成功通过身份验证，他们就获得了立足点，可以进行内部网络侦察、权限提升和横向移动，最终导致数据泄露或更广泛的系统失陷。

执行

第二种最流行的访问方法是执行策略，使用频率为27.4%。这些可以说是技术要求更高的过程，包括命令和脚本解释器（T1059）、用户执行（T1204）和Windows管理规范（T1047）。

命令和脚本解释器的使用频率为58.6%，用户执行为38.6%，Windows管理规范为2.8%。

每种方法通过不同的路径达到相同的结果：获取特权信息。

命令和脚本解释器检测恶意使用PowerShell命令或脚本的行为，这些通常是由轻信虚假更新和验证码（CAPTCHA）活动的用户发起的。虚假更新和虚假验证码活动仍然是各行业中最普遍的感染媒介。这些活动通常部署旨在窃取凭据、浏览器数据和身份验证令牌的信息窃取程序，然后这些信息在地下市场出售或被威胁行为者在后续的勒索软件攻击和网络入侵中利用。

教育机构对这些活动尤其脆弱，因为学生、教职员工经常与基于网络的平台互动，并且在遇到看似常规的系统更新或安全检查时可能不那么谨慎。

用户执行涉及攻击者诱骗用户执行操作，例如点击恶意链接或打开恶意文件，以启动代码执行，通常通过网络钓鱼。根据MITRE的说法，威胁行为者还可能欺骗用户执行以下操作：

• 启用远程访问工具，允许对手直接控制系统。
• 在其浏览器中运行恶意JavaScript，允许对手窃取Web会话Cookie。
• 下载并执行恶意软件以实现用户执行。
• 胁迫用户手动复制、粘贴和执行恶意代码。

由于Windows管理规范服务支持本地和远程访问，它使攻击者能够与本地和远程系统交互，并将其用作执行各种行为的手段，例如为侦察收集信息，以及执行命令和有效负载。

初始访问

初始访问是第三大被追踪的方法，在教育行业安全事件中占比17%。

网络钓鱼（T1566）是主要技术，在91.7%的案例中使用。利用面向公众的应用程序（T1190）和有效账户（T1078）是另外两种被追踪的技术，分别占4.5%和3.8%。

正如网络安全行业和大多数公众所知，网络钓鱼是指发送给毫无戒心的人的欺诈性电子邮件，其中包含恶意链接或信息，旨在利用社会工程诱使收件人在不知情的情况下帮助攻击者。

剖析一次具体攻击

2025年12月18日，悉尼大学通知其社群发生了一起网络安全泄露事件，涉及访问了与社群某些成员相关的历史数据。据信，约有27,500条记录被泄露。

威胁行为者利用了对一个用于代码存储和开发的代码库的访问权限。一些包含个人信息的数据库文件也位于该库中。正如大学在新闻稿中所述，这些历史数据文件主要是在代码开发时用于测试目的。泄露的数据包括约10,000名现任和12,500名前员工及附属人员、约5,000名校友和学生以及六名支持者的个人信息。

根据我们进行的开源情报分析，威胁行为者访问的代码库很可能是一个GitHub仓库，这表明可能使用了供应链攻击或用户账户泄露来进行初始访问。前一章节中描述的虚假验证码活动是学生和员工账户常见的感染来源，攻击者可能利用被入侵的终端来访问内部资源。

缓解措施

可以采取一些措施来防止类似于悉尼大学及其他机构所遭受的、使用上述技术的攻击。

• 所有数据库备份应在静态时使用强加密进行加密，加密密钥应与加密数据分开存储在安全的密钥管理系统中。
• 应实施定期的仓库审计和自动化的密钥扫描，以便在导致数据泄露之前检测并修复任何策略违规行为。
• 教育机构应实施强大的网络分段，以限制横向移动的机会，并根据学生的学术角色仅限制其访问必要资源。
• 持续的威胁搜寻活动也应侧重于检测代码仓库内的恶意活动，因为威胁行为者可能利用被入侵的访问权限，将恶意代码注入机构应用程序、研究工具或共享库中。
• 应由授权的安全专业人员进行内部应用程序的定期渗透测试，以识别攻击者可能利用的潜在入口点和漏洞。鉴于教育机构的独特环境，这些评估尤为重要。

通过分析教育行业最近发生的网络攻击，我们可以看到威胁行为者继续依赖凭据访问、执行和初始访问等技术来入侵机构。这些事件表明漏洞如何导致严重的数据泄露。为了降低这些风险，教育组织必须采用强加密、强大的访问控制、持续监控和定期的安全评估。通过优先考虑主动防御策略，机构可以更好地保护敏感信息，并维持其社群内的信任。FINISHED