Akira勒索软件绕过SonicWall VPN多重认证的技术分析

本文详细分析了Akira勒索软件如何利用CVE-2024-40766漏洞绕过SonicWall VPN的多因素认证机制,包括攻击时间线、技术细节、横向移动手段及防御建议,为企业安全防护提供重要参考。

Akira勒索软件绕过SonicWall VPN的MFA防护

自2025年7月起,Akira勒索软件组织开始针对SonicWall SSL VPN设备展开攻击,成功绕过一次性密码(OTP)多因素认证(MFA)机制。攻击者很可能通过利用CVE-2024-40766漏洞获取的凭证或窃取的OTP种子实现认证绕过。

攻击时间线与目标范围

  • 活动时间:2025年7月21日至今
  • 目标设备:SonicWall NSA和TZ系列设备(运行SonicOS 6-8,包括最新7.3.0版本)
  • 攻击特点:尽管SonicWall已发布更新加固防护,但入侵事件持续发生,甚至影响已打补丁设备

技术细节分析

  1. 初始访问

    • 攻击者通过VPS提供商发起恶意SSL VPN登录(不同于常规宽带/SD-WAN登录)
    • 部分攻击使用隐私VPN服务
    • 同时针对本地账户和LDAP同步账户(包括未配置VPN使用的AD同步账户)

  2. MFA绕过机制

    • 超过半数入侵涉及OTP MFA账户,攻击者均成功通过认证
    • Arctic Wolf研究报告指出:“虽然SonicWall建议的凭证缓解措施符合最佳实践,但我们仍无法解释威胁行为者如何成功绕过MFA”

  3. 横向移动技术

    • 登录后5分钟内开始内部网络扫描(使用SoftPerfect、Advanced IP Scanner)
    • 利用Impacket工具包(SMB会话、WMIExec式quser重定向)和RDP进行横向移动
    • 使用nltest、dsquery、Get-ADUser/Get-ADComputer、SharpShares、BloodHound等工具进行AD枚举

  4. 数据窃取与持久化

    • 在C:\ProgramData或Temp目录保存侦察文件
    • 使用sqlcmd和新型PowerShell工具提取并解密Veeam 11/12凭证
    • 创建本地和域管理员账户(如sqlbackup、veeam)
    • 部署远程管理工具(AnyDesk、TeamViewer、RustDesk)
    • 建立SSH反向隧道和Cloudflare Tunnel维持持久访问

  5. 防御规避技术

    • 禁用RMM工具和卷影副本
    • 关闭本地账户的UAC
    • 尝试禁用Defender/EDR
    • 使用BYOVD技术:重新打包Microsoft consent.exe并伪装成合法EDR软件

加密与数据外传

  • 在服务器和域控制器上安装WinRAR(通常置于ProgramData目录)
  • 使用rclone或FileZilla(fzsftp.exe)通过SFTP/SSH将RAR压缩包传输至VPS主机
  • 勒索软件(akira/locker/w.exe)部署至多个位置,通常在访问后4小时内完成加密(最快记录55分钟)

防护建议

研究报告强调:“最关键缓解措施是重置所有曾运行易受CVE-2024-40766攻击固件的SonicWall设备上的SSL VPN凭证,以及用于SSL VPN访问和LDAP同步的Active Directory账户凭证。”

关注Twitter @securityaffairs 获取最新安全动态

comments powered by Disqus
© 2020 - 2025 qife
使用 Hugo 构建
主题 StackJimmy 设计
本站总访问量 本站访客数人次