一种新攻击技术可让攻击者读取 Windows 系统上的高度敏感文件,同时绕过多款用于防范此类入侵的现代安全工具。
Workday 公司攻击安全团队发布的报告指出,恶意行为者可通过直接读取计算机原始磁盘数据,规避终端检测与响应(EDR)解决方案、文件权限及其他关键防护措施,从而窃取凭证文件。
该方法避开了通常会被安全软件监控的标准文件访问流程。攻击者并非通过文件名打开文件,而是直接与底层磁盘驱动程序进行交互。
拥有管理员权限的攻击者可利用 Windows 内置驱动程序发起攻击;权限较低的用户则可利用存在漏洞的第三方驱动程序,从物理磁盘的特定位置请求原始数据。
这种攻击方式隐蔽性极强,原因在于攻击者从不通过文件名(如 “SAM 注册表 hive 文件”)请求敏感文件,而是直接请求特定扇区地址的数据。
(原始磁盘读取请求)
这意味着,许多通过 “文件名识别恶意文件访问行为” 的安全系统会对该攻击活动 “视而不见”。EDR 解决方案可能只会监测到 “读取 12345 号扇区” 的请求,而非 “打开系统密码文件” 这类应触发警报的操作。
借助该技术,攻击者可规避文件访问控制、独占文件锁,甚至能绕过基于虚拟化的安全(VBS)等高级防护措施。此外,这种攻击在默认系统日志中不会留下任何痕迹。
攻击者获取原始磁盘数据后,需对数据进行解析以重构目标文件。
这一过程涉及对 NTFS 文件系统结构的解读:首先从主引导记录(Master Boot Record)找到磁盘分区,随后定位主文件表(MFT)—— 主文件表相当于整个卷的 “目录”。
通过读取主文件表,攻击者能精准确定任意文件数据的物理位置,按簇读取数据并重新组合 —— 整个过程无需通过操作系统 “正式打开” 文件。
Workday 团队通过利用某驱动程序中的漏洞(漏洞编号 CVE-2025-50892,该漏洞导致原始读取功能被不当暴露),演示了这种攻击的可行性。
但团队同时强调,任何拥有管理员权限的用户,即便不借助存在漏洞的驱动程序,也能实施此类攻击,这使得该威胁在众多企业环境中具有现实危害性。
防范这类底层攻击颇具挑战性,因其绕过了许多企业赖以依赖的安全层级。研究人员建议采用 “深度防御” 策略,结合以下多项措施:
- 全盘加密:使用 BitLocker 等工具对磁盘进行加密,若没有加密密钥,磁盘上的原始数据将无法读取,可大幅遏制此类攻击;
- 权限限制:限制管理员权限,增加攻击者直接与磁盘驱动程序交互或安装新恶意驱动程序的难度;
- 监控原始访问行为:可配置微软 Sysmon 等高级监控工具,检测原始磁盘读取事件(事件 ID 9),但可能需要精细筛选以合理管理警报;
- 驱动程序审查:企业应主动监控未签名或已知存在漏洞的驱动程序的安装情况,可参考微软推荐的驱动程序阻止列表等资源。
研究人员总结称,尽管 “原始磁盘访问” 这一概念并非全新,但事实证明其能突破现代 EDR 的防护,这凸显出安全可见性方面的重大缺口。
随着复杂黑客技术的可获取性不断提高,企业必须了解并防范那些在操作系统表层之下运作的威胁。
版权声明·<<<---红客联盟--->>>>·免责声明
1. 本版块文章内容及资料部分来源于网络,不代表本站观点,不对其真实性负责,也不构成任何建议。
2. 部分内容由网友自主投稿、编辑整理上传,本站仅提供交流平台,不为该类内容的版权负责。
3. 本版块提供的信息仅作参考,不保证信息的准确性、有效性、及时性和完整性。
4. 若您发现本版块有侵犯您知识产权的内容,请及时与我们联系,我们会尽快修改或删除。
5. 使用者违规、不可抗力(如黑客攻击)或第三方擅自转载引发的争议,联盟不承担责任。
6. 联盟可修订本声明,官网发布即生效,继续使用视为接受新条款。
联系我们:admin@chnhonker.com
