近期,資安研究員發現 Akira 勒索軟體採取了一種罕見的攻擊策略——利用一台未受保護的網路攝影機來加密受害者的網路檔案,成功繞過 EDR(端點檢測與回應)防禦機制。這起攻擊事件凸顯了物聯網(IoT)設備的安全風險,以及企業在防護策略上的潛在漏洞。
攻擊過程解析
根據資安公司S-RM 的調查,Akira最初透過企業暴露在外的遠端存取系統滲透內部網路,可能是通過竊取憑證或暴力破解方式獲取權限。入侵後,攻擊者部署 AnyDesk(一款合法的遠端管理工具),並開始竊取企業機敏數據,準備進行雙重勒索攻擊。
為了擴大影響範圍,他們利用 遠端桌面協議(RDP) 進行橫向移動,試圖在多台 Windows 系統中部署勒索軟體。最終,攻擊者投放了一個受密碼保護的壓縮檔 win.zip,內含勒索軟體載荷 win.exe,但因為受害企業部署了 EDR 解決方案,這個加密程序在執行前就被攔截並隔離,使攻擊受挫。
Photo Credit: Source: S-RM
繞過 EDR:攻擊者如何利用網路攝影機?
在傳統攻擊路徑被 EDR 阻擋後,Akira開始尋找替代方案,透過掃描內部網路,發現一台 網路攝影機和指紋掃描器。最終,他們選擇了攝影機作為攻擊跳板。
根據 S-RM 的技術分析,這台攝影機具備以下特點,使其成為攻擊者的最佳選擇:
- 存在遠端 Shell 存取漏洞,允許攻擊者在未經授權的情況下執行命令。
- 運行基於 Linux 的作業系統,與 Akira 勒索軟體的 Linux 加密工具兼容。
- 未部署 EDR 代理程式,因此不受企業安全監控機制的約束。
攻擊者利用攝影機的 Linux 系統掛載了企業 Windows 設備的 SMB 網路共享,然後直接在攝影機上執行 Linux 版勒索軟體,加密所有連接到該網路共享的檔案。由於 該設備未受企業資安團隊監控,導致異常 SMB 流量未被及時發現,最終讓攻擊得逞。
資安專家建議:如何降低 IoT 設備風險?
這起事件突顯出,雖然 EDR 能有效攔截端點設備上的惡意行為,但對於 IoT 設備的防護仍有極大缺口。為防範類似攻擊,企業應採取更全面的資安策略:
1. 強化 IoT 設備安全管理
- 將 IoT 設備與核心業務網路隔離,避免攻擊者利用這些設備作為攻擊跳板。
- 停用不必要的遠端存取功能,降低潛在攻擊面。
- 定期更新韌體與安全修補,修補已知漏洞,防範攻擊者利用弱點滲透。
2. 加強異常流量監控
- 部署網路流量分析(NTA)工具,偵測內部設備是否發送異常 SMB 流量。
- 建立設備使用行為基準(baseline),一旦設備流量異常,立即啟動警報機制。
3. 提升存取管理與帳號安全
- 確保 IoT 設備管理帳號使用強密碼,並關閉預設憑證。
- 實施多因素身份驗證(MFA),避免攻擊者透過竊取憑證輕易入侵網路。
結論:IoT 設備是資安防禦的新戰場
這起 Akira 勒索攻擊事件表明,企業不能僅依賴 EDR 或傳統的端點安全防護來應對勒索軟體攻擊。攻擊者已經開始利用企業忽略的 IoT 設備,作為繞過資安防線的切入點。
為此,企業必須全面檢視網絡中的 所有設備安全狀態,包括 IoT 設備、伺服器與工作站,並透過 網路隔離、異常監控及修補管理,來降低類似攻擊的風險。未受監管的 IoT 設備,可能就是下一個網路安全的破口,企業務必正視這一威脅,及早採取行動。
Akira勒索軟體的部分入侵指標(Indicator of compromise -IOCs):
3920f3C63686514e8e0288f8227e92c969d690e5
b5a5bd9f727623b2eeea051eldd7d57705daa03a
ac9952bcfcecab7400e837d55f91e9a5eeb67d07