Akira 勒索攻击案例分析
最近,Akira 勒索团伙利用网络摄像头绕过 EDR,勒索团伙利用网络摄像头绕过EDR实施加密攻击 - FreeBuf网络安全行业门户,成功加密了受害者的网络。整个攻击过程其实并不复杂,甚至可以说是简单粗暴,但受害者的安全防御实在太差,给了攻击者可乘之机。
1. 远程访问安全太差
攻击者一开始就是通过远程访问进来的,可能是用泄露的账号密码,也可能是直接暴力破解。如果公司用的是弱密码,又没开多因素认证(MFA),那这个入口就和大门敞开没什么区别。更离谱的是,没有监控和拦截异常登录,比如突然有个海外 IP ,就这么直接连上了。
2. 内网隔离形同虚设
这家公司内网几乎没有隔离。攻击者进来后,直接用 RDP 在内部横着走,说明服务器之间的访问权限控制很差。更离谱的是,一个网络摄像头竟然能访问公司的 SMB 共享,这说明摄像头和服务器根本没做隔离。按照正常逻辑,IoT 设备(像摄像头这种)根本不该和核心业务系统在一个网段里,更别说直接访问公司文件服务器了。
3. AnyDesk 这种合法工具可以随便用
攻击者安装了AnyDesk,然后直接用它远程操控受害者的电脑,偷数据、执行命令,甚至控制 RDP 横向移动。这类合法工具本来应该受限,比如只有 IT 部门能用,但在这里,攻击者随便装随便用,毫无阻碍。
4. SMB 共享权限太松
攻击者最终是用 Linux 版勒索软件在摄像头上加密了 SMB 共享,这说明 SMB 访问权限很松。一般来说,一个摄像头不应该能访问文件服务器,但这里不仅能访问,还能直接挂载 SMB 共享,把整个网络的文件加密掉。这就离谱了,完全是自己把攻击面暴露给了黑客。
5. EDR 报警没人看
最讽刺的是,EDR 其实在一开始就拦截了攻击者的勒索软件,但不知道为什么,没人看 EDR 的报警,或者看到了也没采取任何行动,当然,也可能攻击时间发生在下班的时候。如果在第一时间响应,阻止攻击者继续在网络里搞事,后续的通过摄像头加密这一步可能就不会发生。但显然,这里的安全团队要么没认真看告警,要么没有成熟的应急响应流程,要么下班了,导致攻击者能继续作案。
整个攻击过程其实是一个防御失败的典型案例,而不是攻击者技术有多高明。受害者的防御措施像极了我们见过的绝大多数中小型企业,意思意思,简单上个WAF上个EDR,并没有做任何深入的措施。攻击者用的方法就是找个开放的远程访问入口进去,然后用合法工具横向移动,最后找到一个被忽视的摄像头,把它当跳板绕过 EDR 进行加密。没有 0day,没有复杂的漏洞利用,就是靠目标企业的安全缺陷一点点推进,最终完成攻击。
如果受害者的远程访问有 MFA、内网做好隔离、对 AnyDesk 这种工具有限制、SMB 访问权限控制严格、EDR 警报有人跟进,攻击者压根走不到最后一步。但现实是,他们做了最基础的 EDR 部署,却忽视了整个网络的基本安全建设,最终导致这次本不该成功的攻击发生。