企业想要防御勒索软体攻击,EDR系统扮演举足轻重的角色,过往骇客大多试图回避端点电脑及伺服器上的代理程式,其中一种相当泛滥的手法是自带驱动程式(BYOVD)攻击,但如今有骇客干脆不与EDR正面冲突,而是寻找企业其他弱点下手。
例如,最近资安业者S-RM揭露的勒索软体Akira攻击,在EDR成功拦截勒索软体之后,骇客将目标转向缺乏防护的网路摄影机而得逞。这样的事故突显企业必须提升物联网装置的安全,以免这类设备成为资安防线的破口。
【攻击与威胁】
在过往勒索软体攻击事故里,骇客多半针对Windows电脑而来,最近2至3年也针对VMware虚拟化平台打造Linux版加密工具,如今骇客盯上缺乏EDR系统防护的物联网设备,从而回避企业组织的侦测。
提供威胁情资及风险顾问的资安业者S-RM揭露不寻常的勒索软体Akira攻击事故,受害组织在网路环境里的伺服器部署了EDR系统,成功侦测并拦截勒索软体攻击,然而骇客并未就此收手,而是进行网路扫描,找到未受保护的网路摄影机入侵,成功回避EDR侦测并部署勒索软体。
然而,在骇客尝试从受到密码保护的ZIP档解出勒索软体执行档过程里,受害主机的EDR工具侦测到异状并进行隔离。于是这些骇客改变作法,对内部网路进行扫描,发现网路摄影机及指纹扫描器等多种物联网设备并未受到EDR系统保护,因此骇客可能借由渗透这些设备来回避侦测。
资安业者Fortinet揭露散布恶意程式框架Havoc的攻击行动,骇客结合ClickFix与多阶段恶意程式攻击手法,试图于受害电脑植入Havoc的代理程式。骇客为了隐匿攻击行动,运用SharePoint网站存放恶意软体,并滥用微软Graph的API来建立C2通讯。
这起事故的发生,攻击者在初期是透过挟带HTML档案的钓鱼邮件进行,信件以急促的内容要求收信人立刻开启附件。一旦收信人照做,就会落入骇客的ClickFix攻击圈套,此HTML档案会在浏览器显示假的错误讯息,要求依照指示将指令贴上终端机并执行,修复无法连上「One Drive」云端服务的问题。
看似如此,但暗地里,骇客从SharePoint下载指令码档案,检查受害电脑的环境,下载解译器并执行Python指令码,载入名为KaynLdr的Shell Code载入工具,最终于受害电脑部署Havoc。
其他攻击与威胁
◆◆
【漏洞与修补】
身为主要储存与伺服器设备供应商之一的IBM,于2月28日发布旗下主力储存软体平台Storage Virtualize的安全公告,修补2个漏洞,包括1个高危险性的重大漏洞。这次IBM修补的2个Storage Virtualize漏洞,都是GUI控制台介面所造成,CLI文字命令列介面则不受影响,包括:
CVE-2025-0159,这是严重性评分9.1的重大漏洞,起因是RPCAdapter服务的限制不当,导致拥有系统存取权限的远端攻击者可执行任意Java程式码。
CVE-2025-0160,这是严重性评分8.1的重大漏洞,可允许远端攻击者借由发送特别制作的HTTP请求,绕过RPCAdapter端点验证。