報導摘要
2025年8月初,Arctic Wolf和Huntress的研究人員都警告稱,Akira 的附屬機構可能會利用 SonicWall 防火牆中的零日漏洞進行預勒索軟體入侵。然而幾天后,SonicWall 表示攻擊者實際上仍在使用 CVE-2024-40766,這是 SonicWall 已於 2024 年 8 月發布修補程式的漏洞。 所有目標組織都是不同的,但勒索軟體攻擊者俱有很強的適應性,能夠識別並利用你所犯的任何錯誤。方法多種多樣,從利用 Advanced_IP_Scanner、WinRAR 和 FileZilla 等引入的工具,到依賴各種內置工具(LOLBins),以及安裝各種持久機制,如新帳戶、SSH 或 AnyDesk 等功能齊全的 RMM。
這起事件突顯了一個關鍵問題:即使是已知的漏洞,如果沒有及時修補,也可能被惡意行為者反覆利用。攻擊者深知如何利用人為疏忽和系統配置上的弱點來發動攻擊,他們的靈活性和適應性是其成功的主要因素。
勒索軟體攻擊的新趨勢:禁用端點防護(EDR)
隨著企業在資安防護上投入越來越多,單純的勒索軟體攻擊已不足以保證成功。因此,攻擊者開始將重心放在繞過和禁用現有的安全工具,尤其是端點偵測與回應(EDR)解決方案。Akira 勒索軟體的附屬機構在這方面展現了高超的技巧,這使得其攻擊變得更加危險和難以防範。
Hunterss 的威脅分析師觀察到一起引人注目的攻擊案例,攻擊者利用了安全工程師在配置上的嚴重失誤。該工程師將 Huntress 的 EDR 恢復程式碼以純文字形式儲存。這些恢復碼通常用於在某些情況下繞過多因素認證(MFA)以恢復存取權限。攻擊者一旦獲得這些程式碼,就能夠輕易地規避多因素認證,並取得 Huntress 主控台的完整存取權限。
這使得攻擊者能夠執行一些毀滅性的行動:
這起事件是一個深刻的教訓,強調了即使是最先進的資安工具,也可能因人為疏忽或錯誤配置而失效。恢復程式碼應被視為與特權密碼同樣敏感的資產,必須以加密方式儲存,並受到嚴格的保護。
攻擊者的多樣化工具與策略
Akira 勒索軟體攻擊者之所以如此成功,在於他們靈活運用各種工具和策略,從利用合法軟體到使用內建的作業系統功能,其目的都是為了避免被偵測。
利用合法軟體: 攻擊者會引入如 Advanced_IP_Scanner 用於網路掃描,WinRAR 用於壓縮和打包數據,以及 FileZilla 用於數據外洩。這些工具本身是無害的,但被攻擊者用來執行惡意任務,使其行為在常規流量中更難被識別。
依賴內建工具(LOLBins): 攻擊者善於利用「 living off the land binaries」(LOLBins),即作業系統內建的合法二進位檔。例如,他們會使用 PowerShell 或 certutil.exe 等工具來下載惡意負載或執行命令,這些行為在許多組織中都未被視為可疑。
建立持久性: 為了確保在重新啟動後仍能保持存取權限,攻擊者會安裝各種持久性機制。這包括建立新的惡意使用者帳號、在伺服器上安裝 SSH 服務,或者部署如 AnyDesk 等遠端管理與監控(RMM)工具,使他們可以隨時遠端控制受害系統。
這些多樣化的手法使攻擊者的行為難以被傳統的基於簽章的防禦系統偵測。他們不是引入新的惡意檔案,而是讓現有的、合法的工具為其所用,這對現代資安團隊構成了巨大的挑戰。
防範勒索軟體攻擊的有效措施
面對像 Akira 勒索軟體這樣高適應性的威脅,企業需要採取更為全面和多層次的防禦策略。
加強憑證管理:
漏洞與修補管理:
零信任(Zero Trust)原則:
監控與威脅偵測:
員工培訓:
結論
Akira 勒索軟體攻擊的成功,不僅僅在於其技術的先進,更在於其善於利用組織在資安上的疏忽和弱點。這起事件提醒所有企業,資安防護不僅是部署工具,更是一個持續不斷的過程,需要結合技術、流程和人員的共同努力。
單純的防禦性措施已不足以應對當前的威脅環境。企業必須採取主動防禦策略,不斷審視和強化其安全態勢。透過嚴格的憑證管理、及時的漏洞修補、實施零信任原則以及持續的威脅監控,企業才能有效保護其寶貴的數位資產,並在日益嚴峻的網路威脅中立於不敗之地。
資料來源:https://www.helpnetsecurity.com/2025/09/16/akira-ransomware-disable-edr/