2025 年以来,针对 SonicWall 设备的攻击活动持续成为企业安全领域的高危事件之一。近期安全公司报告表明,勒索软件家族 Akira 在针对 SonicWall SSL VPN 的行动中,不仅利用已知漏洞入侵设备,还在若干案例中成功规避了开启的多因素认证机制,令许多已部署防护的组织陷入被动。本文从事件脉络出发,梳理公开情报中的关键点,分析攻击者可能采用的非破坏性绕过手段,并提出以实践为导向的防护与响应建议,帮助企业在面对类似威胁时提高检测与恢复能力。 事件回顾与威胁概况 2024 年 8 月,SonicWall 发布补丁,修复了编号为 CVE-2024-40766 的访问控制漏洞。尽管厂商及时发布修补建议,现实世界的攻击却表明,补丁并不足以完全阻止该类入侵。安全厂商 Arctic Wolf 与 Huntress 的后续分析显示,攻击者在利用旧漏洞进行入侵的同时,还复用了此前从受感染设备中窃取的凭证和种子密钥(seed)等信息,导致即便在系统更新后依然存在后门访问风险。
2025 年上半年,研究机构进一步发现 Akira 的运营者在入侵过程中展现出明显的流水线化作业:快速扫描、横向移动、针对备份服务器(如 Veeam Backup & Replication)进行窃密与破坏、并最终实现勒索加密或数据窃取。令人关注的是,分析报告指出在一些成功入侵的账户中,即便启用了基于一次性密码(OTP)的多因素认证,攻击者仍能完成多次 OTP 验证并成功登陆,这表明攻击者可能掌握了用于生成 OTP 的种子密钥,或通过其他不透明的方式生成有效令牌。 为何多因素认证仍被绕过 多因素认证长期被视为提升账号安全性的关键手段,但其安全性依赖于实现方式及密钥管理的完整性。基于时间或事件的一次性密码(TOTP/HOTP)通常依赖于初始种子密钥。一旦种子密钥遭到窃取,攻击者便可在外部生成与合法用户相同的 OTP。 公开情报中列出的几种可能性包括:在设备被先前漏洞入侵时,攻击者抓取并存储了 OTP 种子;通过持久化后门保持对设备或认证服务的访问;或借助先前对认证组件的漏洞实现令牌复用。
另有报告指出,攻击者可能通过植入或加载恶意或易受攻击的内核驱动以规避端点防护,从而进一步巩固长期访问能力。 攻击链与常见战术概览 在多起事件中,攻击者展现出高度自动化的攻击链:初始访问通常来自对暴露的 SSL VPN 或管理界面利用已知漏洞或凭证重用;随后进行快速网络扫描以识别可横向移动的主机;针对域控制器、备份服务器与数据库执行凭证抓取与枚举;最后对关键资产实施加密与数据窃取。在此过程中,攻击者常使用公开或半自制工具进行权限枚举、会话建立与凭证提取,并针对备份系统专门开发脚本以抽取存储的数据库凭证与加密密钥。 为何备份系统成为重点目标 备份系统一旦被破坏或其凭证被窃取,受害组织的恢复能力将被严重削弱。攻击者理解到完整与可用的备份是受害组织抵抗勒索攻势的关键,因此对 Veeam 等备份解决方案展现出集中攻击兴趣,包括尝试读取并解密保存在备份服务器中的认证信息与密钥材料。 高风险行为与持久化手段 报告还揭示,部分攻击者通过加载签名或非签名的内核驱动、滥用系统信任的可执行文件来规避安全软件,从而禁用或绕过防护进程并实现持久化。
此类战术让企业的传统防病毒或基于签名的检测难以有效阻止或发现长期存在的威胁。攻击者对 Active Directory 的枚举和 BloodHound 一类工具的使用,显示其在横向移动和权限升级方面具有明确目标与流程。 应对与防御建议 强化补丁与凭证管理 及时部署厂商发布的安全更新仍是防御的第一道线。补丁不能代替凭证轮换:一旦相关设备或服务曾遭受入侵,应立即强制更换所有相关凭证与密钥,尤其是用于身份验证的种子密钥与 API 密钥。对长期未变更的管理账号与设备账号实施策略性更换,减少凭证失效周期带来的风险。对设备生命周期内的密钥管理进行审计与修复,尽量避免将敏感密钥以明文或弱保护方式存放在设备上。
提升多因素认证的抗攻击能力 并非所有多因素认证方案安全性相同。应优先采用抗网络钓鱼与抗令牌窃取的认证方式,例如基于公钥的 FIDO2/WebAuthn 硬件令牌或基于证书的双因素方案,尽量避免单纯依赖基于共享种子的一次性密码作为唯一 MFA 机制。配置条件访问策略,通过设备健康状况、地理位置、网络环境等条件提高对登录请求的风控门槛。增强对管理接口与远程访问的访问控制,结合 IP 白名单、跳板机以及与身份威胁检测系统的联动。 网络分段与最小权限原则 采用零信任或细粒度网络分段策略,限制边界内横向移动的能力。将管理接口、备份系统、数据库与关键业务系统放置在受控子网中,对内外部访问都应用最小权限原则。
减少远程管理口令与服务的暴露面,强化堡垒主机与跳板访问的身份校验与审计。 加强备份保护与演练 确保备份数据的完整性与可恢复性是抵御勒索软件的关键。实施离线或隔离备份策略,将备份副本与主网络适度隔离,采用多版本保留并进行定期恢复演练,验证备份在真实事件中的可用性。对备份系统实施严格的访问控制与审计,限制管理权限并对所有对备份系统的访问建立可追溯的审计链。 可观测性与检测能力建设 部署并调优日志聚合、SIEM 与 EDR 工具,重点监测对 VPN 登录、管理接口、备份服务以及与凭证操作相关的事件。快速检测异常登录模式、短时间内多次 OTP 验证、异常的服务行为或对备份存储的大规模读取操作。
建立基于行为的检测模型并与威胁情报共享机制配合,及时识别类似 Akira 的攻击行为。 应急响应与事件恢复要点 在确认入侵或可疑活动时,应优先执行隔离关键系统、保留证据与启动应急响应流程的操作。对受影响设备进行取证性快照,保留网络与系统日志以供后续分析。评估是否存在持久化访问(如后门或已加载的驱动),并在清除威胁前避免重启或更改可能破坏证据的操作。恢复阶段应在确认根本原因被修复并更换所有相关凭证后,按安全方式逐步恢复业务系统与网络连接。 供应链安全与长期策略 攻击活动的反复爆发表明仅靠单次修补无法杜绝风险。
组织应将供应链与第三方风险管理纳入长期安全规划,确保厂商与服务提供者及时披露并修补漏洞。定期进行红蓝对抗与漏洞评估,提升对复杂攻击链的识别能力,并将勒索应对纳入业务连续性计划。 法律与合规考量 在发生入侵并涉及数据泄露或勒索时,组织需按所在司法管辖区的法律法规履行披露义务。与法律顾问、外部取证团队和执法机关建立联系,以便在需要时能够在技术、法律与公关层面协调响应,既保护组织利益,也履行合规责任。 结语 Akira 针对 SonicWall SSL VPN 的攻击提醒我们,单一的安全措施不足以抵御复杂且持久的威胁。补丁管理、凭证轮换、多因素认证的强化、备份保护与可观测性的提升,共同构成抵御此类攻击的综合策略。
对企业而言,关键在于建立持续的风险评估与响应能力:及时修补与轮换、升级认证机制、强化监测并演练恢复流程,才能在面对未来类似威胁时快速发现、遏制并恢复业务运行。 安全团队应将公开情报作为触发点,结合自身环境完成针对性的评估,并在必要时寻求外部威胁响应与取证支持。唯有通过技术、流程与组织三方面的改进,才能切实提升对 Akira 等高级持续威胁的免疫力,减少被动暴露与业务中断的风险。 。
