2025年末,安全研究机构ReliaQuest披露的一则攻击报告引发行业震动:微软命名的初始访问代理(IAB)Storm-0249完成了从大规模钓鱼到精准攻击的战术蜕变,其核心手段是滥用终端检测与响应(EDR)进程旁加载技术,搭配无文件执行、仿冒域名欺骗等高级战术,为LockBit、ALPHV等勒索软件团伙构建“即插即用”的入侵通道。这种将安全工具转化为攻击载体的操作,不仅突破了传统防御体系,更预示着勒索软件即服务(RaaS)生态的攻击分工进入精细化新阶段。
一、攻击团伙与战术演进背景
Storm-0249并非新兴威胁,该团伙由微软于2024年9月首次标记,早期以税务主题钓鱼邮件为主要攻击手段,针对美国用户分发Latrodectus恶意软件和Brute Ratel C4后渗透框架。随着防御技术升级,该团伙放弃了噪音大、成功率低的大规模钓鱼模式,转型为专业化初始访问代理,核心业务是通过精准攻击获取企业网络 foothold,再将访问权限出售给Storm-0501等勒索软件附属团伙,形成“入侵-打包-转售”的黑色产业链闭环。
其战术升级的核心逻辑是“利用信任打破信任”:EDR作为企业终端安全的核心防线,其进程天然具备高权限和安全机制豁免权,而Storm-0249正是瞄准这一信任漏洞,将EDR组件改造为恶意代码的“隐身衣”,实现长期隐蔽驻留。ReliaQuest与SentinelOne的联合研究显示,该团伙的攻击手法并非局限于单一EDR产品,而是可复制到多款主流终端安全工具中,具备极强的扩散风险。
二、攻击链条深度解析(MITRE ATT&CK T1574.002)
Storm-0249的攻击链呈现“多技术融合、全链路隐身”的特征,每个环节都围绕“规避检测、建立信任”展开,具体可分为四个关键阶段:
1. 社会工程学诱骗:ClickFix骗局的精准突破
攻击以ClickFix战术为开端,攻击者伪装成技术支持人员,以“解决系统故障”“优化性能”为借口,诱导用户在Windows运行对话框中粘贴执行curl命令。这一操作看似常规,实则暗藏双重陷阱:一是以SYSTEM最高权限下载恶意MSI安装包,二是从仿冒微软域名(如sgc-ipl.com/us.microsoft.com/bdo/)获取恶意PowerShell脚本,且脚本全程在内存中执行,不写入磁盘,从源头规避签名检测。
2. 恶意组件部署:合法目录的“鸠占鹊巢”
恶意MSI安装包执行后,会在用户AppData文件夹中释放两个关键文件:一是合法的SentinelOne EDR组件SentinelAgentWorker.exe(带数字签名),二是伪造的恶意动态链接库SentinelAgentCore.dll。攻击者特意将恶意DLL与合法EDR进程置于同一目录,利用Windows的DLL搜索优先级机制,为后续旁加载操作创造条件。这种“合法进程+恶意组件”的组合,让防御系统难以通过文件特征识别风险。
3. EDR进程旁加载:核心攻击的瞒天过海
这是整个攻击链的核心环节。当SentinelAgentWorker.exe进程启动时,会优先加载同目录下的恶意SentinelAgentCore.dll,而非原始合法组件。由于执行主体是已签名的可信进程,恶意代码的运行行为被安全工具判定为EDR正常活动,完全绕过用户态钩子监控和进程行为审计。更危险的是,该恶意DLL能实现抵御系统更新的持久化机制,即便受害者修复系统漏洞,仍可能保留入侵通道。
4. 信息收集与攻击交付:为勒索软件量身定制
成功驻留后,攻击者借助被劫持的EDR进程,调用reg.exe、findstr.exe等Windows合法工具(LoLBins)开展侦察。其核心收集目标是MachineGuid——这一基于硬件的唯一标识符,是LockBit等勒索软件绑定加密密钥的关键依据,相当于为后续勒索攻击完成“目标画像”。同时,恶意进程通过加密HTTPS流量与krivo-mado-go-ly-hp.com、hris-tomasito-masdf.com等C2服务器通信,传输指令与数据,进一步掩盖攻击痕迹。
三、核心威胁与行业影响
1. 颠覆安全工具信任逻辑
EDR的设计初衷是监控和阻断恶意行为,而Storm-0249的攻击直接将安全工具转化为攻击载体,利用其高权限和检测豁免权突破防线。这种“以子之矛攻子之盾”的模式,让依赖EDR进程白名单的防御体系完全失效,传统签名检测、API钩子监控等手段均难以识别异常。
2. 降低勒索软件攻击门槛
作为初始访问代理,Storm-0249的核心价值是为勒索软件团伙提供“预处理”的入侵环境。其提前完成的权限获取、环境侦察、持久化部署等工作,让勒索软件团伙无需具备高级攻击能力,只需购买访问权限即可快速实施加密攻击,大幅缩短攻击周期、降低技术门槛。数据显示,这类预处理后的攻击成功率较传统攻击提升300%以上。
3. 形成难以溯源的攻击闭环
攻击全程融合了无文件执行、合法工具滥用、加密通信等多重隐身技术,且恶意行为均通过可信进程发起,导致攻击溯源工作异常困难。受害者往往在数据被加密后才发现入侵,而此时Storm-0249已完成权限交接,难以追踪原始攻击源头。
四、威胁演进趋势前瞻
Storm-0249的战术升级并非个例,而是RaaS生态分工细化的必然结果,未来相关威胁将呈现三大演进方向:
1. 安全工具滥用常态化
随着EDR旁加载技术的扩散,更多初始访问代理将效仿Storm-0249,瞄准WAF、杀毒软件等具备高信任等级的安全产品,挖掘其进程加载、权限管理漏洞,形成“安全工具攻击矩阵”。
2. 攻击分工精细化
RaaS生态将进一步拆分角色,初始访问代理专注于“入口突破”,中间攻击者负责“环境适配”,勒索软件团伙聚焦“数据加密与勒索”,形成专业化流水线作业。这种分工模式将让攻击流程更高效、防御更复杂。
3. 无文件与内存攻击深化
为应对日益完善的终端防御,类似Storm-0249的无文件PowerShell执行、内存注入等技术将成为主流,攻击者会更倾向于“不落地”的攻击方式,减少文件操作留下的痕迹,进一步提升攻击隐蔽性。
五、立体化防御策略升级
针对Storm-0249的攻击特性,企业需要打破传统防御思维,构建“行为导向、权限管控、情报驱动”的纵深防御体系:
1. 重构EDR检测机制
- 放弃单纯依赖进程签名的白名单策略,转向基于行为基线的异常检测,重点监控可信进程的DLL加载路径(如非标准目录加载未签名DLL)。
- 启用内存完整性校验功能,检测进程内存中的恶意代码注入行为,特别是RWX(读-写-执行)内存区域的异常活动。
- 部署跨进程关联分析工具,追踪EDR进程与其他程序的异常交互,识别隐藏的命令与控制通信。
2. 强化关键工具与权限管控
- 对curl、PowerShell等敏感工具实施执行权限分级管控,普通用户默认禁用,必要时通过审批流程开启,限制无文件执行通道。
- 采用应用白名单机制,仅允许经过认证的合法DLL文件加载到EDR进程目录,定期校验目录文件完整性。
- 最小化EDR进程的系统权限,剥离不必要的高权限操作,降低被劫持后的攻击危害。
3. 建立仿冒域名与威胁情报防护
- 部署DNS过滤系统,基于威胁情报库拦截仿冒微软等官方机构的域名,重点阻断带有“microsoft.com”子域名的可疑链接。
- 接入实时威胁情报 feeds,及时更新Storm-0249的C2服务器IP、恶意文件哈希等特征,实现攻击源头阻断。
- 加强员工安全培训,重点普及ClickFix类社会工程学骗局的识别方法,警惕要求在运行对话框中执行命令的“技术支持”请求。
4. 构建零信任终端防护体系
- 实施网络分段,限制终端间的横向移动,即使EDR进程被劫持,攻击者也难以快速扩散至核心业务区域。
- 对敏感数据采用加密存储,定期备份并离线保存,降低勒索软件加密后的损失。
- 建立常态化威胁狩猎机制,主动排查终端中是否存在异常驻留的EDR进程、非标准路径的DLL文件等可疑迹象。
结语
Storm-0249的攻击警示我们,网络安全的攻防博弈已进入“信任对抗”的新阶段。当安全工具本身成为攻击目标,单纯依赖技术堆砌的防御体系将难以为继。企业需要从“被动防御”转向“主动免疫”,通过行为分析、权限管控、情报联动等多重手段,打破攻击者对信任机制的滥用,同时密切关注初始访问代理与勒索软件团伙的协作模式演变,提前布局防御策略,才能有效抵御这类新型供应链攻击。
)
)