近期，Akira勒索團伙被曝光利用未受保護的網(wǎng)絡(luò)攝像頭對受害者的網(wǎng)絡(luò)發(fā)起加密攻擊，成功繞過了原本在Windows系統(tǒng)中攔截其加密器的端點檢測與響應(yīng)（EDR）系統(tǒng)。

網(wǎng)絡(luò)安全公司S-RM的團隊在為客戶處理一起事件響應(yīng)時發(fā)現(xiàn)了這一不尋常的攻擊手法。值得注意的是，Akira團伙是在嘗試在Windows系統(tǒng)中部署加密器被受害者的EDR攔截后，才轉(zhuǎn)向利用網(wǎng)絡(luò)攝像頭的。

Akira的非傳統(tǒng)攻擊鏈

攻擊者最初通過目標公司暴露的遠程訪問解決方案（可能利用竊取的憑據(jù)或暴力破解密碼）進入了企業(yè)網(wǎng)絡(luò)。獲取訪問權(quán)限后，他們部署了合法的遠程訪問工具AnyDesk，并竊取了公司的數(shù)據(jù)，為后續(xù)的雙重勒索攻擊做準備。

接著，Akira團伙利用遠程桌面協(xié)議（RDP）橫向移動，盡可能擴展其在系統(tǒng)中的存在，直至部署勒索軟件負載。最終，他們投放了一個包含勒索軟件負載（win.exe）的密碼保護ZIP文件（win.zip），但受害者的EDR工具檢測并隔離了該文件，成功阻止了攻擊。

在失敗后，Akira開始探索其他攻擊路徑，掃描網(wǎng)絡(luò)中的其他設(shè)備，最終找到了一臺網(wǎng)絡(luò)攝像頭和指紋掃描儀。S-RM解釋說，攻擊者之所以選擇網(wǎng)絡(luò)攝像頭，是因為它容易受到遠程Shell訪問和未經(jīng)授權(quán)的視頻流查看漏洞的影響。

此外，該攝像頭運行的是基于Linux的操作系統(tǒng)，與Akira的Linux加密器兼容，且未安裝EDR代理，因此成為通過網(wǎng)絡(luò)共享遠程加密文件的最佳設(shè)備。

Akira攻擊步驟概覽 來源：S-RM

S-RM向BleepingComputer證實，攻擊者利用網(wǎng)絡(luò)攝像頭的Linux操作系統(tǒng)掛載了公司其他設(shè)備的Windows SMB網(wǎng)絡(luò)共享，并在攝像頭上啟動了Linux加密器，通過SMB對網(wǎng)絡(luò)共享進行加密，成功繞過了網(wǎng)絡(luò)中的EDR軟件。

S-RM解釋道：“由于該設(shè)備未被監(jiān)控，受害組織安全團隊未察覺到從攝像頭到受影響服務(wù)器的惡意服務(wù)器消息塊（SMB）流量增加，否則這可能會引起他們的警覺。因此，Akira最終得以加密整個網(wǎng)絡(luò)中的文件?！?/p>

教訓與建議

S-RM表示，針對網(wǎng)絡(luò)攝像頭的漏洞已有補丁可用，這意味著此次攻擊，至少是這一攻擊途徑，是可以避免的。這一案例表明，EDR防護并非全面安全解決方案，企業(yè)不應(yīng)僅依賴它來防范攻擊。

此外，物聯(lián)網(wǎng)（IoT）設(shè)備通常不像計算機那樣受到嚴格監(jiān)控和維護，但它們?nèi)詷?gòu)成重大風險。因此，此類設(shè)備應(yīng)與生產(chǎn)服務(wù)器和工作站等更敏感的網(wǎng)絡(luò)隔離。

同樣重要的是，所有設(shè)備，包括IoT設(shè)備，都應(yīng)定期更新固件，以修補已知漏洞，避免被攻擊者利用。