阿基拉组织滥用合法Windows驱动攻击SonicWall防火墙以规避检测
💡
原文中文,约1800字,阅读约需5分钟。
📝
内容提要
阿基拉勒索软件组织利用合法Windows驱动程序进行内核级规避,攻击SonicWall防火墙。研究表明,攻击者通过滥用驱动程序规避安全防护。SonicWall确认网络事件增加,可能存在零日漏洞,建议客户禁用SSLVPN服务以防恶意活动。
🎯
关键要点
- 阿基拉勒索软件组织利用合法Windows驱动程序进行内核级规避,攻击SonicWall防火墙。
- 攻击者劫持了两个常见的Windows驱动程序,规避杀毒软件和终端检测响应系统。
- SonicWall确认网络事件增加,建议客户禁用SSLVPN服务以防恶意活动。
- VPN是企业员工访问公司网络的必备工具,禁用该服务实施难度较大。
- 攻击者采用自带漏洞驱动(BYOVD)策略,将两个Windows驱动程序武器化。
- SonicWall可能存在零日漏洞,攻击者可能利用该漏洞进行攻击。
- 研究确认从初始SSLVPN账户访问到勒索软件加密的时间间隔极短。
- 用户应将SSLVPN连接限制为可信源IP,启用多因素认证等安全措施。
❓
延伸问答
阿基拉组织是如何攻击SonicWall防火墙的?
阿基拉组织通过滥用合法的Windows驱动程序进行内核级规避,攻击SonicWall防火墙。
SonicWall公司对网络事件增加的反应是什么?
SonicWall确认网络事件增加,建议客户禁用SSLVPN服务以防止恶意活动。
自带漏洞驱动(BYOVD)策略是什么?
自带漏洞驱动(BYOVD)策略是攻击者将合法的Windows驱动程序武器化,以规避安全防护。
用户如何增强SonicWall的安全性?
用户应将SSLVPN连接限制为可信源IP,启用多因素认证等安全措施。
SonicWall可能存在什么安全漏洞?
SonicWall可能存在零日漏洞,攻击者可能利用该漏洞进行攻击。
阿基拉组织的攻击活动有什么时间特征?
研究确认从初始SSLVPN账户访问到勒索软件加密的时间间隔极短。
➡️
