舊版鑑識軟體元件遭濫用,駭客以此打造能癱瘓EDR運作的工具,從事勒索軟體攻擊活動
攻擊手法與技術細節
駭客利用已註銷的EnCase資安鑑識工具元件,開發出一種能癱瘓端點檢測與響應(EDR)系統的惡意工具。該工具為64位元的二進位檔案,偽裝成韌體更新工具,可識別59種資安防護工具的處理程序,一旦發現,便在作業系統核心層級直接執行攻擊,導致EDR系統無法正常運作。
攻擊目的與影響
此類攻擊主要目的是為了避免攻擊流程被端點防護工具阻斷,駭客透過自帶驅動程式(BYOVD)攻擊方式,繞過防毒與EDR系統的監控,進而執行勒索軟體攻擊活動,對目標系統進行資料加密與勒索。
相關事件與來源
- Huntress公司揭露:威脅情報公司Huntress揭露這起不尋常的資安事故,駭客濫用已註銷的EnCase元件,打造EDR殺手工具。
- 最新攻擊案例:2026年2月11日,微軟修補6個已被用於實際攻擊的零時差漏洞,其中包含與EDR系統相關的漏洞,顯示此類攻擊持續演進。
- 其他相關報導:iThome與BleepingComputer等資安媒體均報導此類攻擊手法,強調駭客對EDR系統的繞過技術日益成熟。