一种新攻击技术可让攻击者读取 Windows 系统上的高度敏感文件，同时绕过多款用于防范此类入侵的现代安全工具。 Workday 公司攻击安全团队发布的报告指出，恶意行为者可通过直接读取计算机原始磁盘数据，规避终端检测与响应（EDR）解决方案、文件权限及其他关键防护措施，从而窃取凭证文件。 该方法避开了通常会被安全软件监控的标准文件访问流程。攻击者并非通过文件名打开文件，而是直接与底层磁盘驱动程序进行交互。 拥有管理员权限的攻击者可利用 Windows 内置驱动程序发起攻击；权限较低的用户则可利用存在漏洞的第三方驱动程序，从物理磁盘的特定位置请求原始数据。

这种攻击方式隐蔽性极强，原因在于攻击者从不通过文件名（如 “SAM 注册表 hive 文件”）请求敏感文件，而是直接请求特定扇区地址的数据。

（原始磁盘读取请求） 这意味着，许多通过 “文件名识别恶意文件访问行为” 的安全系统会对该攻击活动 “视而不见”。EDR 解决方案可能只会监测到 “读取 12345 号扇区” 的请求，而非 “打开系统密码文件” 这类应触发警报的操作。

借助该技术，攻击者可规避文件访问控制、独占文件锁，甚至能绕过基于虚拟化的安全（VBS）等高级防护措施。此外，这种攻击在默认系统日志中不会留下任何痕迹。

攻击原理

攻击者获取原始磁盘数据后，需对数据进行解析以重构目标文件。

这一过程涉及对 NTFS 文件系统结构的解读：首先从主引导记录（Master Boot Record）找到磁盘分区，随后定位主文件表（MFT）—— 主文件表相当于整个卷的 “目录”。

通过读取主文件表，攻击者能精准确定任意文件数据的物理位置，按簇读取数据并重新组合 —— 整个过程无需通过操作系统 “正式打开” 文件。

Workday 团队通过利用某驱动程序中的漏洞（漏洞编号 CVE-2025-50892，该漏洞导致原始读取功能被不当暴露），演示了这种攻击的可行性。

但团队同时强调，任何拥有管理员权限的用户，即便不借助存在漏洞的驱动程序，也能实施此类攻击，这使得该威胁在众多企业环境中具有现实危害性。

防御建议

防范这类底层攻击颇具挑战性，因其绕过了许多企业赖以依赖的安全层级。研究人员建议采用 “深度防御” 策略，结合以下多项措施：

1. 全盘加密：使用 BitLocker 等工具对磁盘进行加密，若没有加密密钥，磁盘上的原始数据将无法读取，可大幅遏制此类攻击；
2. 权限限制：限制管理员权限，增加攻击者直接与磁盘驱动程序交互或安装新恶意驱动程序的难度；
3. 监控原始访问行为：可配置微软 Sysmon 等高级监控工具，检测原始磁盘读取事件（事件 ID 9），但可能需要精细筛选以合理管理警报；
4. 驱动程序审查：企业应主动监控未签名或已知存在漏洞的驱动程序的安装情况，可参考微软推荐的驱动程序阻止列表等资源。

研究人员总结称，尽管 “原始磁盘访问” 这一概念并非全新，但事实证明其能突破现代 EDR 的防护，这凸显出安全可见性方面的重大缺口。

随着复杂黑客技术的可获取性不断提高，企业必须了解并防范那些在操作系统表层之下运作的威胁。