新型EDR杀毒工具“CactusStealer”被至少八个顶级勒索软件组织采用
网络安全领域出现了一种令人担忧的趋势:一种专门用于窃取和禁用端点检测与响应(EDR)系统的新型工具正在地下犯罪论坛中迅速传播。该工具被研究人员命名为 “CactusStealer” 或 “CactusConveyor”,其核心功能是窃取EDR产品的身份验证令牌和配置文件,从而使攻击者能够合法地访问并关闭企业的核心防御系统。
目前,已有证据表明,至少八个不同的知名勒索软件组织正在其攻击链中积极部署该工具,这使得全球企业的网络安全防线面临前所未有的挑战。
核心威胁:CactusStealer 是什么?
与传统恶意软件直接破坏系统文件不同,CactusStealer 采取了更狡猾、更高效的“窃取而非破坏”策略。
- 针对性搜索与窃取:该工具会系统地扫描受感染机器的文件系统和注册表,寻找与主流EDR供应商(如 CrowdStrike、SentinelOne、Microsoft Defender 等)相关的特定目录、文件和配置项。
- 窃取关键数据:其主要目标是窃取包含身份验证令牌的配置文件、API密钥、证书以及XML配置文件。这些数据是EDR代理与中央管理控制台安全通信的凭证。
- 权限滥用:攻击者利用窃取的令牌,可以以“合法管理员”的身份通过REST API或其他接口远程登录到企业的EDR管理平台。一旦进入,他们可以:
- 解除安装:远程卸载终端上的EDR代理。
- 禁用策略:修改安全策略,降低防护等级或完全关闭检测功能。
- 关闭警报:清除或抑制EDR系统生成的攻击警报,实现“隐身”。
- 列入白名单:将攻击者的工具和进程添加到信任列表。
这种方法比开发复杂的漏洞利用(0day)来绕过EDR要简单得多,因为它直接滥用了EDR产品本身的合法功能。
波及范围:哪八个勒索软件组织正在使用?
根据多家威胁情报公司(如 SentinelLabs、Kaspersky)的监测,已确认以下勒索软件团伙在其攻击中整合了CactusStealer:
- Black Basta:非常活跃且成功的勒索软件即服务(RaaS)组织。
- LockBit:尽管近期执法行动对其造成了打击,但其残余分支仍在活动,并采用新技术。
- ALPHV (BlackCat):以使用Rust编程语言而闻名的技术先进团伙。
- Akira:近年来迅速崛起,针对多个行业发起攻击。
- Royal:以“双重勒索”策略(窃取数据并加密)著称的团伙。
- BlackSuit:与Royal和Knight共享代码关联的新兴威胁。
- Cactus:该工具的名字可能正来源于此团伙,他们是早期使用者。
- Phobos:通常针对中小型企业的勒索软件家族。
这个名单很可能只是冰山一角,随着工具的进一步传播,预计会有更多犯罪组织采用这一技术。
为何此事至关重要?
- 削弱最后防线:EDR/MDR系统被视为抵御高级攻击的最后一道技术防线。一旦被禁用,企业将完全暴露在攻击者面前,使其可以肆无忌惮地横向移动、部署勒索软件。
- 攻击效率极高:这种方法省去了绕过EDR复杂检测逻辑的麻烦,直接“拿到钥匙开门”,大大缩短了攻击者在目标网络内停留的时间(缩短驻留时间),减少了被其他安全机制发现的机会。
- 难以检测:使用合法凭证和API进行的操作,在日志中看起来像是正常的管理活动,使得安全团队很难区分善恶。
企业应如何防御?
面对这种新威胁,企业必须超越传统的依赖单一安全产品的思维,采取纵深防御策略:
- 强化凭证和访问管理:
- 实施最小权限原则:确保EDR管理账户仅拥有执行其任务所必需的最低权限。
- 多因素认证 (MFA):为所有安全管理控制台(尤其是EDR)强制启用MFA。这是最关键的一步,即使令牌被盗,攻击者也无法在没有第二因素的情况下使用它。
- 定期轮换API密钥和凭证。
- 加强监控与审计:
- 密切监控EDR管理控制台本身的活动日志,关注异常的管理操作,例如:从异常IP地址登录、批量代理卸载、策略修改等。
- 部署独立的SIEM系统,聚合来自EDR、网络、身份验证等各处的日志,即使EDR被禁用,也能保留攻击痕迹。
- 网络分段与隔离:
- 将EDR管理控制台的访问权限限制在特定的、安全的管理VLAN或跳板机上,不允许从互联网直接访问。
- 安全意识与流程:
- 培训安全团队识别此类新型攻击技术。
- 建立完善的事件响应流程,确保在发现EDR被异常卸载或禁用时能迅速做出反应。
结论
CactusStealer的出现标志着勒索软件攻击战术的又一次重大演变。攻击者不再试图“硬碰硬”地绕过安全软件,而是通过“窃取钥匙”的方式巧妙地将其关闭。这提醒所有企业,安全产品本身也可能成为攻击面。保护这些高价值系统的访问凭证,实施严格的访问控制和多因素认证,已成为当前网络安全防御的重中之重。
