文章总结： 文档分析了一起通过入侵网络摄像头发动的Akira勒索软件攻击案例。攻击者利用摄像头固件漏洞获取shell权限，借助其Linux系统部署加密工具，绕过EDR防护加密服务器。核心发现是物联网设备成为安全薄弱环节，建议措施包括网络隔离、禁用非必要服务、完善补丁管理、部署XDR解决方案等。 综合评分： 82 文章分类： 勒索软件,物联网安全,应急响应,漏洞分析,安全建设

一次通过网络摄像头进行的勒索软件攻击

卡巴斯基 卡巴斯基

卡巴斯基威胁情报

2026年5月18日 15:51 北京

在小说阅读器读本章

去阅读

抵御利用企业物联网设备发动的勒索软件攻击。

在未来的几年里，网络安全专业人士很可能会将 Akira勒索软件攻击作为一个关键的学习案例。攻击者通过入侵一台监控摄像头，对一家机构的计算机进行了加密。乍一看，这似乎有悖常理，但这一系列事件背后遵循着一种逻辑，而这种逻辑很容易被应用到其他机构及其基础设施内的不同设备上。

1

攻击剖析

攻击者利用了一个面向公众的应用程序中的漏洞，得以渗透进网络，并在受感染的主机上执行命令。在首次突破防线后，他们启动了广受欢迎的远程访问工具 AnyDesk，并与该机构的文件服务器建立了远程桌面协议（RDP）会话。在访问服务器后，他们试图运行勒索软件，但该公司的终端检测与响应（EDR）系统检测到了威胁并将其隔离。可惜，这并没有阻止攻击者。

由于服务器和工作站都受到了终端检测与响应系统的保护，攻击者无法在这些设备上部署勒索软件，于是他们进行了一次局域网扫描，发现了一台网络摄像机。尽管在事件调查报告中多次提到 “网络摄像头”，但我们认为它并非是笔记本电脑或智能手机的内置摄像头，而是一台独立的用于视频监控的联网设备。

这台摄像机成为攻击者理想目标的原因有以下几点：

• 由于其固件严重过时，该设备容易受到远程攻击，这使得攻击者能够获得设备的外壳访问权限并执行命令。
• 这台摄像机运行的是一个轻量级的 Linux 系统版本，能够执行适用于该操作系统的标准二进制文件。巧合的是，Akira 勒索软件的工具库中包含一款基于 Linux 系统的加密工具。
• 这种专用设备没有 —— 而且很可能也无法支持 —— 终端检测与响应代理或任何其他用于检测恶意活动的安全控制措施。

攻击者能够在摄像机上安装恶意软件，并利用这台设备作为加密该机构服务器的据点。

2

如何避免成为下一个受害者

这次网络摄像机事件生动地阐释了有针对性的网络攻击的某些原则，并为我们提供了有效应对措施的思路。以下是按照从易到难的顺序排列的应对措施：

• 限制对专用网络设备的访问及其权限。这次攻击的一个主要因素是网络摄像机对文件服务器的访问权限过于宽松。这些设备应该置于一个隔离的子网内。如果无法做到这一点，就应该给予它们与其他计算机通信的尽可能少的权限。例如，写入权限应限制在一台特定服务器上用于存储视频记录的单个文件夹。并且对摄像机和这个文件夹的访问应该限制在仅由安全人员和其他授权人员使用的工作站上。虽然对其他专用设备（如打印机）实施这些限制可能更具挑战性，但对于摄像机来说很容易实现。
• 停用智能设备上的非必要服务和默认账户，并更改默认密码。
• 在所有服务器、工作站和其他兼容设备上使用终端检测与响应（EDR）解决方案。所选的解决方案必须能够检测到服务器的异常活动，例如通过服务器消息块（SMB）协议进行的远程加密尝试。
• 将漏洞和补丁管理程序扩展到涵盖所有智能设备和服务器软件。首先要对这些设备进行详细的清查。
• 在可行的情况下，即使是在无法部署终端检测与响应系统的专用设备（如路由器、防火墙、打印机、视频监控摄像机及类似设备）上，也要实施监控，比如将遥测数据转发到安全信息和事件管理（SIEM）系统。
• 考虑采用扩展检测与响应（XDR）级别的解决方案，该方案将网络和主机监控与异常检测技术以及手动和自动事件响应工具相结合。

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：卡巴斯基威胁情报 卡巴斯基 卡巴斯基《一次通过网络摄像头进行的勒索软件攻击》