Akira勒索軟體犯罪組織利用不安全的網路攝影機繞過EDR（端點偵測及應變機制,Endpoint Detection and Respons)註1並對受害者的網路發動加密攻擊。

S-RM團隊的網路安全研究人員發現Akira勒索軟體犯罪組織使用的一種新穎的網路攻擊技術。勒索軟體犯罪組織繞過端點偵測和應變 (EDR)，使用不安全的網路攝影機加密目標網路內的電腦系統。研究人員觀察到，Akira勒索軟體最初被安裝在受害者系統上的EDR阻止識別並隔離勒索軟體二進制(binary）檔案，阻止其在受害者的網路中部署EDR。

Akira勒索軟體犯罪組織透過遠端存取工具存取網路，並使用 AnyDesk進行持久且保存並竊取資料。攻擊者透過RDP遠端桌面協定（Remote Desktop Protocol）進入伺服器並嘗試將勒索軟體部署為受密碼保護的zip檔案，但受害者的EDR工具會阻止其部署惡意程式。駭客在意識到EDR處於啟動狀態下，便開始掃描網路以查找易受攻擊的裝置。在發現不安全的物聯網（Internet of Things， IoT，包括網路攝影機和指紋掃描儀等等，利用這些物聯網裝置繞過安全防禦並成功部署勒索軟體。

攻擊者利用受嚴重漏洞影響的網路攝影機，包括遠端shell存取及未受EDR保護的任何裝置。這類物聯網裝置是運作於輕量級Linux 作業系統，此正為Akira Linux勒索軟體變種的完美攻擊目標。由於缺乏監控，攻擊者可以成功部署勒索軟體，且受害者安全團隊還未意識到，因未能及時偵測到可疑的SMB流量。Akira便成功加密受害者網路上的檔案。「在將網路攝影機確定為合適的目標後，威脅行為者會毫不猶豫地開始部署勒索軟體在使用Linux的系統。由於設備未被監控，受害者安全團隊並未意識到從網路攝影機到受影響伺服器的惡意伺服器訊息區塊 (SMB)流量積增。Akira成功入侵後便能夠加密受害者網路上的檔案。（如下圖: 攻擊鏈詳細資訊）

圖:攻擊鏈詳細資訊(Attack chain in detail)

駐客攻擊手法

在網路攝影機尚未入侵成功前，本次攻擊事件為Akira典型作案手法。透過面向外部的遠端存取解決方案入侵受害者的網路後，駭客部署遠端管理和監控工具AnyDesk.exe，以持續且保留對受害者網路的存取權，並伺機竊取受害者資料。在攻擊的後期，攻擊者透過遠端桌面協定（RDP）轉移到受害者網路上的伺服器。Akira通常使用 RDP，因為它使他們能夠與端點互動並與合法使用 RDP 的系統管理員整合。威脅行為者最初嘗試將勒索軟體部署在其中一台Windows伺服器上，作為包含勒索軟體二進制(binary）檔案「win.exe」的受密碼保護的zip檔「win.zip」。然而，受害者的EDR防護工具在壓縮檔解壓縮和部署之前便可立即識別並隔離惡意程式。

此時，威脅行為者可能意識到受EDR 工具警示且防禦成功。因此攻擊者便改變策略，在嘗試向Windows伺服器部署勒索軟體前，攻擊者已先進行內部網路掃描以便識別有那些開放連接埠、服務和裝置。攻擊者使用網路掃描發現受害者網路上物聯網（「IoT」）設備，包括網路攝影機和指紋掃描器。這些設備便為威脅行為者用於提供躲避 EDR工具並且成功部署勒索軟體。

轉向網路攝影機

威脅行為者可能將網路攝影機視為部署勒索軟體的合適目標設備，原因有三：

1. 網路攝影機幾個嚴重的漏洞，包括遠端shell功能和未經授權的遠端檢視攝影機。
2. 使用輕量級Linux作業系統做為運行系統，支援像標準Linux 設備類似的執行命令，這使得該設備成為Akira Linux勒索軟體變種的完美候選者。
3. 設備未安裝任何EDR工具，因此不受保護。事實上，由於這類裝置儲存容量有限，是否能夠安裝任何EDR是值得懷疑。

在將網路攝影機確定為合適的目標後，威脅行為者毫不猶豫地開始部署使用Linux勒索軟體。由於設備未受到監控，受害者安全團隊並尚未意識到且未警示從網路攝影機到受影響伺服器的惡意伺服器資訊區塊 (SMB) 流量增加。

經驗教訓

S-RM團隊從本事件中確定了三個關鍵的安全要點：

1. 修補優先等級；修補管理策略往往側重於對業務功能至關重要的系統。這種方式雖實用且合乎邏輯，但往往與威脅行為者的觀點相悖，威脅行為者會利用任何可利用的弱點來攻擊關鍵系統。因此，最初看似無關緊要的設備可能會成為威脅行為者先行攻擊成功的跳板。例如，物聯網設備經常逃避嚴格的安全審核並保留預設密碼和過時的軟體，為威脅行為者在本應安全的環境中提供潛在的攻擊點。
2. 不斷演變的威脅行為者：Akira就是一個很好的例子，展示了網路威脅行為者如何隨著時間的推移而演變，從最初使用程式語言Rust 開發過渡到使用C++。作為勒索軟體即服務 (Ransomware as a service,RaaS)，它可在Windows和Linux系統上運行，這使其成為一種用途特別廣泛的威脅。
3. 繞過EDR防護：2024年，S-RM團隊就已發現，在攻擊事件的應變處理中，40%都在一定程度上部署EDR。威脅行為者能夠利用EDR覆蓋範圍中繞過缺乏主動監控或錯誤配置之處。顯然EDR目前仍然是關鍵的安全控制措施。

預防和補救

預防（Prevention）和補救（Remediation）對此類新型攻擊仍可能頗具挑戰性。至少，組織應該監控其物聯網設備的網路流量並偵測異常行為。應考慮採用以下安全措施：

• 網路限製或分段：將物聯網設備置部署於無法從伺服器或使用者工作站存取的分段網路上，或限制設備與特定連接埠、IP位址的通訊。
• 內部網路稽核：定期稽核連接到內部網路的設備，有助於識別威脅行為者實施的安全漏洞或惡意設備。
• 修補程式和裝置管理：定期更新修補裝置（包括物聯網裝置）。確保物聯網設備的預設密碼已變更為獨特且複雜的密碼。
• 關閉設備：不使用時，關閉物聯網設備。

入侵指標Indicators of compromise, IoC)

S-RM識別勒索軟體二進制(binary）檔案，其具有以下簽名：

註1: EDR（端點偵測及應變機制,Endpoint Detection and Respons):是網路安全性技術，可持續監視端點的威脅證據，並執行自動動作來協助降低威脅。端點—許多連接到網路的實體裝置(例如行動電話、桌面電腦、膝上型電腦、虛擬機和物聯網(IoT) 技術)—讓惡意執行者有多個進入點可攻擊組織。EDR解決方案可協助安全性分析師偵測並補救端點上的威脅，然後威脅才能散佈到整個網路。

本文參考自：https://www.s-rminform.com/latest-thinking/camera-off-akira-deploys-ransomware-via-webcam