勒索软件利用EDR工具隐秘执行恶意代码

代号为Storm-0249的初始访问中间人，正通过滥用终端检测与响应解决方案及受信任的微软Windows系统工具，实现恶意软件加载、通信链路建立与持久化驻留，为后续勒索软件攻击预先部署环境。

Storm-0249已摒弃大规模钓鱼攻击手段，转而采用更隐蔽、更高级的攻击方法。这些方法不仅攻击效果显著，且即便相关攻击路径已有详细公开文档，防御方依旧难以有效应对。

研究人员在分析一起攻击事件时发现，Storm-0249借助SentinelOne EDR组件的特性隐藏恶意活动。这一攻击手法同样适用于其他品牌的EDR产品。

对SentinelOne EDR的滥用手段

Storm-0249的攻击始于ClickFix社会工程学骗局，诱导用户在Windows运行对话框中粘贴并执行curl命令，以系统权限（SYSTEM）下载恶意MSI安装包。

与此同时，攻击者还会从伪造的微软域名中获取恶意PowerShell脚本，该脚本会被直接载入系统内存，全程不写入磁盘，以此规避杀毒软件的检测。

恶意MSI文件会释放一个名为SentinelAgentCore.dll的恶意动态链接库文件。研究人员表示：“攻击者将该恶意DLL文件特意放置在受害终端已安装的、合法的SentinelOne EDR组件程序SentinelAgentWorker.exe所在目录下。”

随后，攻击者通过已签名的SentinelAgentWorker程序加载该恶意DLL（即DLL侧加载技术），让恶意代码在受信任的高权限EDR进程中执行，进而实现可抵御系统更新的隐蔽持久化驻留。

ReliaQuest解释道：“由合法进程全权执行攻击者的恶意代码，其行为在安全工具看来与常规SentinelOne组件活动无异，从而绕过检测机制。”

签署的可执行文件侧载恶意DLL

攻击者获取目标设备访问权限后，会借助SentinelOne组件，通过reg.exe、findstr.exe等Windows合法工具收集系统标识信息，并以加密HTTPS流量的形式传输命令与控制数据。

正常情况下，注册表查询与字符串检索这类操作会触发安全警报，但当操作源于受信任的EDR进程时，安全机制会将其判定为常规行为并忽略。

攻击者会利用MachineGuid（一种基于硬件的唯一标识符）对受入侵系统进行画像。LockBit、ALPHV等勒索软件团伙常利用该标识符将加密密钥与特定受害对象进行绑定。

这一特征表明，Storm-0249开展的初始访问入侵活动，是根据其主要客户（即勒索软件附属团伙）的需求量身定制的。

对受信任的已签名EDR进程的滥用，可绕过几乎所有传统监控手段。研究人员建议系统管理员采用基于行为的检测机制，重点识别受信任进程从非标准路径加载未签名DLL文件的异常行为。此外，加强对curl、PowerShell及各类二进制文件的执行权限管控，也有助于提升防御效果。

参考及来源：https://www.bleepingcomputer.com/news/security/ransomware-iab-abuses-edr-for-stealthy-malware-execution/