![勒索软件团伙利用网络摄像头加密网络以绕过 EDR检测]( "勒索软件团伙利用网络摄像头加密网络以绕过 EDR检测")
有人发现 Akira 勒索软件团伙使用不安全的网络摄像头对受害者的网络发起加密攻击,有效绕过了阻止 Windows 中加密器的端点检测和响应 (EDR)。
网络安全公司 S-RM 团队在最近对其一位客户的一次事件响应中发现了这种不寻常的攻击方法。
值得注意的是,Akira仅在尝试在 Windows 上部署加密器后才转向网络摄像头,但加密器被受害者的 EDR 解决方案阻止。
攻击者最初通过目标公司暴露的远程访问解决方案访问公司网络,可能是通过利用被盗凭证或暴力破解密码。
获得访问权限后,他们部署了合法的远程访问工具 AnyDesk,并窃取了公司的数据,用于双重勒索攻击。
接下来,Akira 使用远程桌面协议 (RDP) 进行横向移动,并将其存在扩展到尽可能多的系统,然后部署勒索软件负载。
最终,攻击者放弃了一个受密码保护的 ZIP 文件 (win.zip),其中包含勒索软件负载 (win.exe),但受害者的 EDR 工具检测到并隔离了它,从根本上阻止了攻击。
这次失败之后,Akira 探索了其他攻击途径,扫描网络查找可用于加密文件的其他设备,并找到了网络摄像头和指纹扫描仪。
S-RM 解释说,攻击者之所以选择网络摄像头,是因为它容易受到远程 shell 访问和未经授权的视频观看。
此外,它运行在与 Akira 的 Linux 加密器兼容的 Linux 操作系统上。它也没有 EDR 代理,因此是远程加密网络共享文件的最佳设备。
![勒索软件团伙利用网络摄像头加密网络以绕过 EDR检测]( "勒索软件团伙利用网络摄像头加密网络以绕过 EDR检测")
S-RM 向 BleepingComputer 证实,攻击者利用网络摄像头的 Linux 操作系统挂载了公司其他设备的 Windows SMB 网络共享。然后他们在网络摄像头上启动了 Linux 加密器,并用它来加密 SMB 上的网络共享,从而有效地绕过了网络上的 EDR 软件。
S-RM 解释道:“由于该设备未被监控,受害组织的安全团队并未意识到从网络摄像头到受影响服务器的恶意服务器消息块 (SMB) 流量有所增加,否则他们可能会收到警报。”
“Akira 随后便能够加密受害者网络上的文件。”
S-RM 告诉 BleepingComputer,已经有针对网络摄像头漏洞的补丁,这意味着这次攻击,或者至少是这种攻击方式,是可以避免的。
该案例表明,EDR 保护并不是一个全面的安全解决方案,组织不应该仅仅依靠它来防御攻击。
此外,物联网设备不像计算机那样受到密切的监控和维护,但仍然存在重大风险。
因此,这些类型的设备应该与更敏感的网络(如生产服务器和工作站)隔离。
同样重要的是,所有设备,甚至是物联网设备,都应该定期更新其固件,以修补可能被攻击的已知漏洞。
信息来源:BleepingComputer
原文始发于微信公众号(犀牛安全):勒索软件团伙利用网络摄像头加密网络以绕过 EDR检测
评论