代号为Storm-0249的初始拜访中心人，正通过滥用终端检测与反响治理计划及受信托的微软Windows体系东西，完毕恶意软件加载、通讯链道竖立与长期化驻留，为后续敲诈软件攻击预先安置处境。

　　Storm-0249已摒弃大领域垂钓攻击门径，转而采用更潜匿、更高级的攻击手段。这些手段不单攻击结果明显，且即使联系攻击旅途已有精细公然文档工具软件，防御方仍旧难以有用应对。

　　咨议职员正在领悟沿途攻击事情时挖掘，Storm-0249借助SentinelOne EDR组件的特质湮没恶意举止。这一攻击伎俩同样实用于其他品牌的EDR产物。

　　Storm-0249的攻击始于ClickFix社会工程学骗局，诱导用户正在Windows运转对话框中粘贴并推广curl夂箢，以体系权限（SYSTEM）下载恶意MSI装配包。

　　与此同时，攻击者还会从伪制的微软域名中获取恶意PowerShell剧本，该剧本会被直接载入体系内存，全程不写入磁盘，以此规避杀毒软件的检测。

　　恶意MSI文献会开释一个名为SentinelAgentCore.dll的恶意动态链接库文献。咨议职员示意：“攻击者将该恶意DLL文献特地就寝正在受害终端已装配的、合法的SentinelOne EDR组件次第SentinelAgentWorker.exe所正在目次下。”

　　随后，攻击者通过已签字的SentinelAgentWorker次第加载该恶意DLL（即DLL侧加载技能），让恶意代码正在受信托的高权限EDR历程中推广，进而完毕可抵御体系更新的潜匿长期化驻留。

　　ReliaQuest阐明道：“由合法历程全权推广攻击者的恶意代码，其手脚正在太平东西看来与旧例SentinelOne组件举止无异，从而绕过检测机制。”

　　攻击者获取标的筑造拜访权限后，会借助SentinelOne组件，通过reg.exe、findstr.exe等Windows合法东西搜罗体系标识讯息，并以加密HTTPS流量的局面传输夂箢与担任数据。

　　平常状况下，注册外盘查与字符串检索这类操作会触发太平警报，但当操作源于受信托的EDR历程时，太平机制会将其占定为旧例手脚并轻视。

　　攻击者会诈骗MachineGuid（一种基于硬件的独一标识符）对受入侵体系实行画像。LockBit、ALPHV等敲诈软件团伙常诈骗该标识符将加密密钥与特定受害对象实行绑定。

　　这一特性注脚，Storm-0249展开的初始拜访入侵举止，是凭据其重要客户（即敲诈软件从属团伙）的需求量身定制的。

　　对受信托的已签字EDR历程的滥用，可绕过险些一切古板监控门径。咨议职员发起体系治理员采用基于手脚的检测机制，中心识别受信托历程从非圭臬旅途加载未签字DLL文献的特地手脚。另外，加紧对curl、PowerShell及各式二进制文献的推广权限管控，也有助于晋升防御结果。