近期由第三方資安研究人員所揭露,透過濫用 Windows 錯誤報告機制 (Windows Error Reporting,WER) 的攻擊手法,來讓端點防護或 EDR 系統處理程序強制休眠的攻擊型態,其概念驗證 (PoC) 程式「EDR-Freeze.exe」經銳傑內部研究及測試,確認博通賽門鐵克端點防護系統 (SEP 14.3.x) 可防禦此類攻擊,請各企業用戶保持定義檔更新,並建議啟用「機器學習」及「竄改防護」功能以強化防護。
Symantec可攔阻特徵類型
| 檔案防護特徵 | 可攔阻版本 |
| Heur.AdvML.B | 檔案防護特徵碼:2025/10/07 rev.20 |
銳傑科技建議
端點防護系統強化事項
- 確認伺服器及端點電腦端點防護系統狀態並保持定義檔持續更新。
- 開啟端點防護自我防護功能並設定為攔截、同時啟用機器學習、設定移除及停用密碼保護,並限制用戶端例外設定的權限。
- 強化伺服器主機安全防護機制,評估安裝並啟用「應用程式及裝置控管」與「網路入侵預防」功能。
- 優先評估導入Symantec EDR (SEDR) 系統,SEP 用戶無需額外安裝 Agent 即可啟用,升級授權後可強化:
- 確保所有端點行為皆可被監控與記錄,增加企業內部即時偵測與反應能力,提高威脅可視性。
- 透過 EDR 事件記錄與時間軸功能,完整追蹤攻擊來源、傳播途徑與影響範圍,強化事件調查與分析能力,加速資安團隊應變處置。
- 透過行為分析技術,對合法工具的行為進行檢測,以因應 (Living-off-the-Land, LOTL) 新形態攻擊。
重要系統主機強化事項
- 清查企業Microsoft 網域中的 Domain Admin 群組是否存在異常的帳號或不應存在的帳號,確認安全事件日誌是否有可疑活動紀錄。
- 請強化網域管理員權限帳號的安全管控機制,如:限制網域管理員權限帳號登入來源、網域管理員權限帳號不允許非上班時間使用等。
- 透過VPN、RDP 連線至內部環境時,需導入兩階段驗證,且具備身份識別控管。
參考來源