近期，Akira勒索團(tuán)伙被曝光利用未受保護(hù)的網(wǎng)絡(luò)攝像頭對(duì)受害者的網(wǎng)絡(luò)發(fā)起加密攻擊，成功繞過(guò)了原本在Windows系統(tǒng)中攔截其加密器的端點(diǎn)檢測(cè)與響應(yīng)（EDR）系統(tǒng)。

網(wǎng)絡(luò)安全公司S-RM的團(tuán)隊(duì)在為客戶(hù)處理一起事件響應(yīng)時(shí)發(fā)現(xiàn)了這一不尋常的攻擊手法。值得注意的是，Akira團(tuán)伙是在嘗試在Windows系統(tǒng)中部署加密器被受害者的EDR攔截后，才轉(zhuǎn)向利用網(wǎng)絡(luò)攝像頭的。

Akira的非傳統(tǒng)攻擊鏈

攻擊者最初通過(guò)目標(biāo)公司暴露的遠(yuǎn)程訪問(wèn)解決方案（可能利用竊取的憑據(jù)或暴力破解密碼）進(jìn)入了企業(yè)網(wǎng)絡(luò)。獲取訪問(wèn)權(quán)限后，他們部署了合法的遠(yuǎn)程訪問(wèn)工具AnyDesk，并竊取了公司的數(shù)據(jù)，為后續(xù)的雙重勒索攻擊做準(zhǔn)備。

接著，Akira團(tuán)伙利用遠(yuǎn)程桌面協(xié)議（RDP）橫向移動(dòng)，盡可能擴(kuò)展其在系統(tǒng)中的存在，直至部署勒索軟件負(fù)載。最終，他們投放了一個(gè)包含勒索軟件負(fù)載（win.exe）的密碼保護(hù)ZIP文件（win.zip），但受害者的EDR工具檢測(cè)并隔離了該文件，成功阻止了攻擊。

在失敗后，Akira開(kāi)始探索其他攻擊路徑，掃描網(wǎng)絡(luò)中的其他設(shè)備，最終找到了一臺(tái)網(wǎng)絡(luò)攝像頭和指紋掃描儀。S-RM解釋說(shuō)，攻擊者之所以選擇網(wǎng)絡(luò)攝像頭，是因?yàn)樗菀资艿竭h(yuǎn)程Shell訪問(wèn)和未經(jīng)授權(quán)的視頻流查看漏洞的影響。

此外，該攝像頭運(yùn)行的是基于Linux的操作系統(tǒng)，與Akira的Linux加密器兼容，且未安裝EDR代理，因此成為通過(guò)網(wǎng)絡(luò)共享遠(yuǎn)程加密文件的最佳設(shè)備。

Akira攻擊步驟概覽 來(lái)源：S-RM

S-RM向BleepingComputer證實(shí)，攻擊者利用網(wǎng)絡(luò)攝像頭的Linux操作系統(tǒng)掛載了公司其他設(shè)備的Windows SMB網(wǎng)絡(luò)共享，并在攝像頭上啟動(dòng)了Linux加密器，通過(guò)SMB對(duì)網(wǎng)絡(luò)共享進(jìn)行加密，成功繞過(guò)了網(wǎng)絡(luò)中的EDR軟件。

S-RM解釋道：“由于該設(shè)備未被監(jiān)控，受害組織安全團(tuán)隊(duì)未察覺(jué)到從攝像頭到受影響服務(wù)器的惡意服務(wù)器消息塊（SMB）流量增加，否則這可能會(huì)引起他們的警覺(jué)。因此，Akira最終得以加密整個(gè)網(wǎng)絡(luò)中的文件?！?/p>

教訓(xùn)與建議

S-RM表示，針對(duì)網(wǎng)絡(luò)攝像頭的漏洞已有補(bǔ)丁可用，這意味著此次攻擊，至少是這一攻擊途徑，是可以避免的。這一案例表明，EDR防護(hù)并非全面安全解決方案，企業(yè)不應(yīng)僅依賴(lài)它來(lái)防范攻擊。

此外，物聯(lián)網(wǎng)（IoT）設(shè)備通常不像計(jì)算機(jī)那樣受到嚴(yán)格監(jiān)控和維護(hù)，但它們?nèi)詷?gòu)成重大風(fēng)險(xiǎn)。因此，此類(lèi)設(shè)備應(yīng)與生產(chǎn)服務(wù)器和工作站等更敏感的網(wǎng)絡(luò)隔離。

同樣重要的是，所有設(shè)備，包括IoT設(shè)備，都應(yīng)定期更新固件，以修補(bǔ)已知漏洞，避免被攻擊者利用。