代号为 Storm-0249 的初始访问中间人，正通过滥用终端检测与响应解决方案及受信任的微软 Windows 系统工具，实现恶意软件加载、通信链路建立与持久化驻留，为后续勒索软件攻击预先部署环境。

Storm-0249 已摒弃大规模钓鱼攻击手段，转而采用更隐蔽、更高级的攻击方法。这些方法不仅攻击效果显著，且即便相关攻击路径已有详细公开文档，防御方依旧难以有效应对。

研究人员在分析一起攻击事件时发现，Storm-0249 借助 SentinelOne EDR 组件的特性隐藏恶意活动。这一攻击手法同样适用于其他品牌的 EDR 产品。

对 SentinelOne EDR 的滥用手段

Storm-0249 的攻击始于 ClickFix 社会工程学骗局，诱导用户在 Windows 运行对话框中粘贴并执行 curl 命令，以系统权限（SYSTEM）下载恶意 MSI 安装包。

与此同时，攻击者还会从伪造的微软域名中获取恶意 PowerShell 脚本，该脚本会被直接载入系统内存，全程不写入磁盘，以此规避杀毒软件的检测。 

恶意 MSI 文件会释放一个名为 SentinelAgentCore.dll 的恶意动态链接库文件。研究人员表示：" 攻击者将该恶意 DLL 文件特意放置在受害终端已安装的、合法的 SentinelOne EDR 组件程序 SentinelAgentWorker.exe 所在目录下。"

随后，攻击者通过已签名的 SentinelAgentWorker 程序加载该恶意 DLL（即 DLL 侧加载技术），让恶意代码在受信任的高权限 EDR 进程中执行，进而实现可抵御系统更新的隐蔽持久化驻留。

ReliaQuest 解释道：" 由合法进程全权执行攻击者的恶意代码，其行为在安全工具看来与常规 SentinelOne 组件活动无异，从而绕过检测机制。"

签署的可执行文件侧载恶意 DLL

攻击者获取目标设备访问权限后，会借助 SentinelOne 组件，通过 reg.exe、findstr.exe 等 Windows 合法工具收集系统标识信息，并以加密 HTTPS 流量的形式传输命令与控制数据。

正常情况下，注册表查询与字符串检索这类操作会触发安全警报，但当操作源于受信任的 EDR 进程时，安全机制会将其判定为常规行为并忽略。

攻击者会利用 MachineGuid（一种基于硬件的唯一标识符）对受入侵系统进行画像。LockBit、ALPHV 等勒索软件团伙常利用该标识符将加密密钥与特定受害对象进行绑定。

这一特征表明，Storm-0249 开展的初始访问入侵活动，是根据其主要客户（即勒索软件附属团伙）的需求量身定制的。

对受信任的已签名 EDR 进程的滥用，可绕过几乎所有传统监控手段。研究人员建议系统管理员采用基于行为的检测机制，重点识别受信任进程从非标准路径加载未签名 DLL 文件的异常行为。此外，加强对 curl、PowerShell 及各类二进制文件的执行权限管控，也有助于提升防御效果。