攻击者通过原始磁盘访问(Raw Disk Access),直接与 Windows 存储驱动交互,读取物理扇区数据(如 LBA 55928762),而非通过文件系统 API(如NtReadFile)。关键突破点:
- 无文件名特征:不触发 EDR 的 “敏感文件(如 SAM、SYSTEM)访问监控”,仅表现为 “读取扇区 X-Y”(参考摘要 1 的 IRP 包解析);
- 绕过权限控制:利用管理员权限或第三方驱动漏洞(如 CVE-2025-50892),突破 NTFS 文件权限(即使文件被加锁或隐藏);
- 内存驻留执行:通过存储驱动层(如
storahci.sys)直接获取数据,全程无磁盘文件落地(参考摘要 1 的 SCSI 命令拦截原理)。
- 扇区定位:通过解析 NTFS 主文件表($MFT),定位敏感文件(如 SAM)的物理簇地址;
- 驱动调用:发送
READ(10) SCSI 命令(CDB 字节 0x28),请求读取指定 LBA 扇区(如从 55928762 开始读 64 块);
- 数据重构:按簇重组扇区数据,还原 SAM/hive 文件,提取 NTLM 哈希(离线破解或 PTH 攻击)。
传统 EDR 依赖文件名 + 进程行为监控,而原始磁盘访问:
- 无文件打开操作(EDR 无法捕获
CreateFile事件);
- 伪装为正常存储驱动调用(如
storahci.sys合法进程);
- 规避文件锁机制(直接读扇区,无需获取文件独占权限,参考摘要 5 的存储系统攻击)。
- BitLocker 强制启用:
- 开启TPM+PIN 双重认证(参考摘要 2),确保密钥仅在预启动阶段解密,防止内存 dump;
- 禁用休眠(
powercfg /h off),避免密钥残留hyberfil.sys(参考摘要 2 的内存 remanence 防护)。
- 物理接口管控:
- 禁用 USB-DMA 设备(如 Thunderbolt),通过组策略限制
USBSTOR驱动加载(参考摘要 3 的外设管控);
- 部署 BIOS 密码,防止攻击者通过启动盘直接访问磁盘(参考摘要 2 的 Intel Boot Guard 机制)。
- Sysmon 深度配置:
- 启用事件 ID 9(原始磁盘访问),监控
storahci.sys/disk.sys的异常 SCSI 命令(如非周期性的连续扇区读取);
- 关联 LBA 地址与文件系统元数据,通过
fsutil volume diskfree检测 “大量非文件系统扇区访问”(参考摘要 1 的 LBA→MFT 逆向分析)。
- EDR 行为分析升级:
- 安恒 EDR 等新一代产品需增加存储驱动调用监控,识别
IRP_MJ_INTERNAL_DEVICE_CONTROL异常(参考摘要 3 的进程链溯源);
- 建立 “扇区访问基线”,标记超出业务逻辑的高频扇区读取(如每分钟 > 100MB 非系统盘访问)。
- 最小权限原则:
- 禁用普通用户的 “加载驱动” 权限(SeLoadDriverPrivilege),通过 Windows 权限分配工具(如 LAP)限制管理员组(参考摘要 6 的权限分级);
- 第三方驱动强制签名,拦截未认证驱动加载(如通过
bcdedit /set nointegritychecks off启用驱动签名)。
- 应急响应流程:
- 发现原始磁盘访问告警后,立即冻结对应设备,使用
diskshadow创建卷影副本,离线分析扇区数据(参考摘要 5 的存储系统应急响应);
- 定期备份 SAM 文件哈希,通过
reg save离线比对,检测是否被篡改(如哈希值与基线不一致)。
- 攻击路径:攻击者利用运维人员账号(权限过高),通过自研工具读取
\Device\0x80000000磁盘扇区,提取域控 SAM 文件;
- 防御缺失:EDR 未监控原始磁盘访问,BitLocker 未启用 PIN 认证,导致哈希泄露后引发全行域控沦陷;
- 修复措施:强制启用 TPM+PIN,部署安恒 EDR 的 “存储驱动行为监控”,拦截异常 SCSI 命令。
- 工具平民化:GitHub 出现开源磁盘直读工具(如
RawDiskReader_v2.0),攻击门槛下降 50%(参考摘要 1 的技术扩散);
- 组合攻击:原始磁盘读取 + DMA 攻击(如利用 Thunderbolt 接口),形成 “物理接触→权限提升→数据窃取” 闭环(参考摘要 2 的 DMA 防护);
- 云存储渗透:攻击者通过云主机底层接口(如 AWS EBS 直连),绕过云平台安全组,窃取加密卷元数据(2025 年新趋势)。
红客联盟 AI 警示:截至 2025 年 9 月,全球仍有43% 的企业未启用 BitLocker PIN 认证(参考微软数据),建议立即开展 “磁盘加密 + 驱动监控” 专项整治。攻击者正从 “文件层” 转向 “扇区级”,需构建 “硬件加密→驱动监控→行为分析” 的三维防御,堵住 EDR 最后一公里漏洞。
(报告生成:红客联盟 AI 智能安全分析员 | 2025 年 9 月 6 日)
版权声明·<<<---红客联盟--->>>>·免责声明
1. 本版块文章内容及资料部分来源于网络,不代表本站观点,不对其真实性负责,也不构成任何建议。
2. 部分内容由网友自主投稿、编辑整理上传,本站仅提供交流平台,不为该类内容的版权负责。
3. 本版块提供的信息仅作参考,不保证信息的准确性、有效性、及时性和完整性。
4. 若您发现本版块有侵犯您知识产权的内容,请及时与我们联系,我们会尽快修改或删除。
5. 使用者违规、不可抗力(如黑客攻击)或第三方擅自转载引发的争议,联盟不承担责任。
6. 联盟可修订本声明,官网发布即生效,继续使用视为接受新条款。
联系我们:admin@chnhonker.com
