二、攻击者基础设施与活动特征
(一)勒索沟通渠道与联系邮箱服务商分布
1 核心基础设施 (隐匿根基)
1.1 TOR (洋葱路由)【暗网基础设施】
勒索软件生态的基石。通过全球成千上万的中继节点进行多层跳板路由,隐藏攻击者的真实IP和物理位置。它是承载暗网泄露站点 (Leak Site) 和 赎金支付页面 的唯一平台,使得执法机构难以通过流量分析追踪服务器或进行关停。
2 即时通讯工具 (实时谈判)
2.1 TOX
当前勒索谈判的首选工具。基于P2P(点对点)架构,无中央服务器,所有聊天内容强制端到端加密。因没有运营实体,执法部门无法通过“发函”调取聊天记录或封禁账号,彻底解决了账号被封锁的风险。
2.2 Session
极高隐私的即时通讯软件。与Signal不同,它不需要手机号或邮箱注册(仅生成Session ID),利用洋葱路由网络传输消息,不留存任何元数据(Metadata),让追踪者无法通过通信日志分析攻击者的社交关系网。
2.3 Telegram (TG)
兼具即时通讯与“黑市”属性。除了用于部分勒索谈判,攻击者组织更倾向于利用其“频道 (Channel)” 和 “机器人 (Bot)” 功能,公开售卖窃取数据、发布受害者名单以及招募 RaaS 附属成员(下线)。
3 专用加密邮箱 (匿名投递)
3.1Proton Mail
位于瑞士的加密邮箱巨头。受严格的瑞士隐私法保护,服务器采用零知识访问架构(连管理员都无法查看邮件内容)。因其注册无需手机号且信誉度较好,常被攻击者用于发送第一封勒索信或作为备用联络点。
3.2 OnionMail
专为TOR网络设计的邮箱。无需个人信息即可创建,支持通过 PGP公钥 自动加密邮件。其核心优势是能通过 VMAT 协议打破“暗网与明网”的壁垒,让攻击者在暗网环境中安全地接收受害者从普通互联网发来的邮件。
3.3 Tuta (原 Tutanota)
位于德国的加密邮箱服务。与Proton类似,它对邮件的主题行、正文及附件均进行端到端加密。因提供免费且匿名的账户注册,常被勒索组织作为Proton Mail被封锁后的第一备选方案(B计划)。
3.4 Cyberfear.com
专注于极致隐私的小众服务商。声称“零知识”架构,支持比特币支付订阅。深受特定高阶勒索家族(如BlackCat等)青睐,用于规避主流邮件服务商的风控封锁。
3.5 Cock.li
攻击者圈内“恶名昭著”的私人运营邮箱。允许随意注册,抗投诉能力极强(Bulletproof)。虽稳定性一般,但因运营者长期拒绝配合任何国家的执法调查,在早期和激进的勒索软件活动中极为常见。
3.6 Firemail.cc
常用于生成临时的、一次性的谈判地址。因其对滥用行为的高容忍度,攻击者常利用它发送大规模垃圾勒索邮件。
4 主流公共邮箱 (伪装与渗透)
4.1 Gmail / Outlook / iCloud
虽然这几类邮箱本身配合执法调查,但攻击者依然使用。通常通过盗取他人账号或虚假身份注册。攻击者利用这些域名的高信誉度(High Reputation),确保勒索邮件能穿透企业的反垃圾邮件网关(SEG),直接抵达受害者收件箱。
三、勒索攻击手段与技术路径分析
(一)口令破解攻击
1.1 RDP弱口令
1.因集群上层连接地址为10.0.xxx.xxx网闸,集群收到的所有外网连接IP均为网闸IP(10.0.xxx.xxx)访问。
图1 攻击者通过外网映射网闸连接证明
2.因网闸(10.0.xxx.xxx)日志默认存储三天,攻击者攻击时间(2025年6月6日至2025年6月8日日志未被保存)
图2 网闸日志记录证明
3.防火墙(10.0.xxx.xxx)未记录访问爆破操作,但记录少量攻击者使用工具对外进行爆破记录(“无法进一步溯源真实外网IP”)
图3 防火墙无爆破无RDP连接日志记录证明
攻击者第一次运行攻击者工具在2025年6月7日15:02:08,攻击者首次登录在2025年6月7日15:00左右(因安全日志最大大小原因最初日志仅保留从2025年6月7日16:49之后的安全日志行为)
图4 攻击者运行攻击者工具
图5 攻击者爆破记录
2025年6月7日21:59:06 IP:10.0.xxx.xxx(因通过网闸进行映射,其攻防演练机所有访问ip均通过10.0.xxx.xxx对172.16.xxx.xxx进行访问) 远程RDP登录172.16.xxx.xxx成功
图6攻击者登录成功日志记录
登录成功后攻击者在“c:\users\administrator\music”文件位置上传攻击者工具用于信息收集以及横向移动爆破如“netscan.exe”(局域网扫描)、“kpor.exe”(端口扫描)“mimikatz.exe”(密码窃取)、”webbrowserpassview.exe“(密码窃取)等
图7 攻击者上传运行攻击者工具记录
攻击者成功后在2025年6月7日22:04:03开始再次对扫描内网进行横向移动扫描。
图8 攻击者横向扫描记录
图9攻击者横向扫描记录
图10 攻击者对外扫描记录
攻击者2025年6月7日23:16启动Winscp对爆破成功服务器进行远程连接可从会话配置文件中看到攻击者连接了172.16.xxx.xxx、等内网IP
图11攻击者启动工具记录
图12Winscp连接记录
攻击者2025年6月8日0:53启动putty进行远程连接可从会话配置文件中看到攻击者连接了172.16.xxx.xxx、172.16.xxx.xxx等内网IP
图 13攻击者启动工具记录
图 14 putty的会话配置文件
攻击者远程连接Esxi 记录及加密器执行记录172.16.xxx.xxx于2025年6月8日0:45首次登录172.16.xxx.xxx(esxi服务器)
图 15 ssh连接记录
攻击者于2025年6月8日1:25执行名为“encrypter-linux-esxi-x64.run”的勒索软件
图16 加密器执行记录
172.16.xxx.xxx于2025年6月8日0:46首次登录172.16.xxx.xxx(esxi服务器)
图17 ssh连接记录
攻击者于2025年6月8日1:32执行名为“encrypter-linux-esxi-x64.run”的勒索软件
图18 加密器执行记录
172.16.xxx.xxx于2025年6月8日0:46首次登录172.16.xxx.xxx(esxi服务器)
图19 ssh连接记录
攻击者于2025年6月8日1:31执行名为“encrypter-linux-esxi-x64.run”的勒索软件
图20 加密器执行记录
172.16.xxx.xxx于2025年6月8日0:51首次登录172.16.xxx.xxx(esxi服务器)
图21 ssh连接记录
攻击者于2025年6月8日1:32执行名为“encrypter-linux-esxi-x64.run”的勒索软件
图22 加密器执行记录
172.16.xxx.xxx(攻防演练机器)于2025年6月8日0:51首次登录172.16.xxx.xxx(esxi服务器)
图23 ssh连接记录
攻击者于2025年6月8日1:32执行名为“encrypter-linux-esxi-x64.run”的勒索软件
图24 加密器执行记录
172.16.xxx.xxx(攻防演练机器)于2025年6月8日0:47首次登录172.16.xxx.xxx(esxi服务器)
图 25 ssh连接记录
攻击者于2025年6月8日1:32执行名为“encrypter-linux-esxi-x64.run”的勒索软件
图26 加密器执行记录
172.16.xxx.xxx(攻防演练机器)于2025年6月8日0:48首次登录172.16.xxx.xxx(esxi服务器)
图 27 ssh连接记录
攻击者于2025年6月8日1:32执行名为“encrypter-linux-esxi-x64.run”的勒索软件
图28 加密器执行记录
攻击者攻击路径图
1.2 Sqlserver数据库弱口令
【溯源分析过程】2025年5月29日(Windows server 2008默认记录系统日志数量有限爆破开始时间应早于该时间)-2025年6月17日期间大量sql爆破记录恶意攻击ip为:45.134.26.xxx、45.134.26.xxx、91.238.xxx.xxx等经过分析均为国外代理IP或者跳板服务器。
图1 历史爆破数据库端口证明-1
图2 历史爆破数据库端口证明-2
图3 历史爆破数据库端口证明-3
2025年6月17日16:05到2025年6月17日19:21爆破中断(因sqlserver默认登录日志未开启则推断攻击者在使用爆破工具爆破成功后停止爆破疑似爆破成功)随后在2025年6月17日19:21攻击者登录数据库将TRUSTWORTHY 属性被设置为 ON随后启动CLR程序集(启动后可加载恶意程序集达到命令执行、提权、获取计算机权限等操作)。
图4 攻击者数据库操作
图5 攻击者数据库操作
2025年6月17日19:21攻击者创建 AppDomain 2用于加载的恶意CLR程序集“qlclrpayloa”后续删除卸载 AppDomain 2等恶意操作可证明攻击者已获取数据库权限且已执行命令或者获取服务器控制权限,从攻击顺序和手法可判断攻击者爆破数据库成功后进行登录执行恶意操作。
图6 攻击者数据库操作
图7 攻击者加载恶意CLR程序集
后续攻击者通过数据库获取的权限获取系统密码2025年6月17日22:53攻击者初次使用恶意IP:149.88.28.xxx
(IP为法国,分析为攻击者使用代理IP)远程登录服务器。
图8 攻击者远程登录桌面
2025年6月17日22:53攻击者使用恶意IP:149.88.xxx.xxx再次远程登录(IP为法国,分析为攻击者使用代理IP)
图9 攻击者远程登录桌面
2025年6月17日22:59攻击者关闭360安全防御
图10 攻击者关闭360安全防护软件
2025年6月17日23:07攻击者执行名为“svchost.exe”勒索软件,勒索软件运行自动结束数据库等进程开始执行加密操作。
图11 攻击者执行勒索软件结束数据库进程
图12 攻击者执行勒索软件修改文件时间
攻击者执行的勒索软件和攻击者工具均在”C:\Users\Administrator\Music\”路径下
图13 攻击者使用攻击者工具和路径
图14 攻击者使用的勒索软件路径
攻击者**攻击路径图**
1.3 VPN弱口令
初始入侵阶段(7 月 18 日):攻击者通过 VPN 账号密码弱口令 或泄露获得初始访问权限,异常账号sysadmin成功登录FTP04和DC01 服务器。22:54 攻击者在 FTP04 上传扫描工具包 netskcan.zip,23:58 开始使用扫描器对域控进行探测并生成扫描结果 10.0.xxx.xxx.xml 文件。
横向扩散阶段(7 月 19 日-7 月 23 日):攻击者利用 FTP04、 SDC-MANAGE作为跳板机,使用sysadmin账号登录多台主机包括FTP02、 SDC-MANAGE 等,探测该账号的域内权限。经查询发现 sysadmin 账号 在域控内没有批注记录,推测为可疑账号但具有全域登录权限。
恶意程序部署阶段(7 月 20 日-7 月 21 日):2025 年 7 月 20 日5:05 攻击者在 FTP04 投放恶意远控程序 exe.exe与msedge.exe,5:17 投放针对本集团定制的恶意远控程序 msedge64-MOTOVIS.exe,其编译时间为 2025 年 3 月 7 日 2:57,推测为此次攻击专门定制。攻击者多次尝试禁用 Windows 防火墙,并在 7 月 21 日 5:33 对 FTP04 的 C 盘进行整个加白名单处理。
数据窃取与加密爆发(7 月 22 日):攻击者在 FTP02、SDC-MANAGER 与 DC01上部署数据窃取工具 rclone(网盘软件)与 fil.exe(FTP 软件)进行数据外泄。22:57 统一投放勒索加密器对所有目标服务器 实施加密攻击。
| 阶段 |
时间 |
攻击行为 |
| 初始入侵 |
2025 年 7 月 18 日 |
利用异常账号入侵企业内部网络 |
| 横向扩散 |
2025 年 7 月 18-23 日 |
使用异常账号进行横向扫描攻击 |
| 恶意程序部署 |
2025 年 7 月 20-21 日 |
恶意远程控制软件 |
| 数据窃密 |
2025 年 7 月 22 日 |
使用恶意数据窃取工具进行数据窃取 |
| 最终攻击 |
2025 年 7 月 22 日 |
投放勒索加密器并对数据进行加密 |
攻击者**攻击路径图**
1.4 Web应用弱口令
服务器被植入勒索软件,文件被加密,加密文件的后缀为.HhgTqFWUz、.JiBplbZe1,根据勒索界面和加密后缀判断该勒索软件为病毒家族盗版LB3的变种病毒。本次中勒索软件的 有两台主机,下面会逐一进行分析。
1.客户某应用虚拟化软件业务映射在公网,IP为222.81.xxx.xxx
2.基于日志排查发 IP 185.49.xxx.xxx 使用管理员用户于 2025/7/31 13:40:02 登录成功应用服务器
3.咨询客户,该业务采用的账号密码为 admin/123,该密码强度为弱口令,攻击者可轻松爆破后登录,在后续的某应用虚拟化软件日志中会提供相关记录
4.在某应用虚拟化软件日志中找到对应记录,可疑 IP 在加密前成功登录某应用虚拟化软件 WEB,下图所附为日志 所记录的登录详情,可疑 IP 92.60.xxx.xxx 于 2025/07/31 15:54:49 使用 admin/123成功登录,202cb962axxxxxxxxxxx7152d234b70 为 md5 加密后结果
92.60.xxx.xxx - - [31/Jul/2025:15:54:49 +0800] "GET /RAPAgent.XGI?CMD=GETApplication&AppID=APP00000006&Language=EN&User= admin&PWD=202cb96xxxxxxxxxxx07152d234b70&AuthType=0&Computer=SZ-10 8&Finger=A22789EF5&IP= HTTP/1.1" 200 -
92.60.xxx.xxx - - [31/Jul/2025:15:55:29 +0800] "GET /casweb/key/key.dat HTTP/1.1" 200 4399
92.60.xxx.xxx - - [31/Jul/2025:15:55:57 +0800] "GET /RAPAgent.XGI?CMD=GETApplication&AppID=APP00000006&Language=EN&User= admin&PWD=202cb9xxxxxxxxxxb07152d234b70&AuthType=0&Computer=SZ-10 8&Finger=A22789EF5&IP= HTTP/1.1" 200 -
92.60.xxx.xxx - - [31/Jul/2025:15:56:06 +0800] "GET /RAPAgent.XGI?CMD=GETApplication&AppID=APP00000001&Language=EN&User= admin&PWD=202cb962ac59xxxxxxxxxxx2d234b70&AuthType=0&Computer=SZ-10 8&Finger=A22789EF5&IP= HTTP/1.1" 200 1661
8.某应用虚拟化软件日志找到的其他可疑 IP 登录记录详情,可疑 IP171.105.xxx.xxx 于 2025/04/17 04:55:32 使用 admin/123 成功登录,202cb962acXXXXXXXXXX07152d234b70 为 md5 加密后结果,为国内 IP 需重点关注
171.105.xxx.xxx - - [17/Apr/2025:04:55:32 +0800] "GET /RAPAgent.XGI?CMD=GETApplication&AppID=APP00000001&Language=ZH-CN&Us er=admin&PWD=3349XXXXXXXXXX3673fe3f5&AuthType=0&Computer=WI N-1TLJMBOFIT6&Finger=A45A2E5E3&IP= HTTP/1.1" 200 53
171.105.xxx.xxx - - [17/Apr/2025:04:55:33 +0800] "GET /RAPAgent.XGI?CMD=GETApplication&AppID=APP00000001&Language=ZH-CN&Us er=admin&PWD=a66f877XXXXXXXXXXfaf166fb243a&AuthType=0&Computer=WI N-1TLJMBOFIT6&Finger=A45A2E5E3&IP= HTTP/1.1" 200 53
171.105.xxx.xxx - - [17/Apr/2025:04:55:33 +0800] "GET/RAPAgent.XGI?CMD=GETApplication&AppID=APP00000001&Language=ZH-CN&Us er=admin&PWD=e40f01afXXXXXXXXXX7ced5bca532&AuthType=0&Computer=WI N-1TLJMBOFIT6&Finger=A45A2E5E3&IP= HTTP/1.1" 200 53
171.105.xxx.xxx - - [17/Apr/2025:04:59:00 +0800] "GET /RAPAgent.XGI?CMD=GETApplication&AppID=APP00000001&Language=ZH-CN&Us er=admin&PWD=21232fXXXXXXXXXX3894a0e4a801fc3&AuthType=0&Computer=WI N-1TLJMBOFIT6&Finger=A45A2E5E3&IP= HTTP/1.1" 200 53
171.105.xxx.xxx - - [17/Apr/2025:04:59:01 +0800] "GET /RAPAgent.XGI?CMD=GETApplication&AppID=APP00000001&Language=ZH-CN&Us er=admin&PWD=c4ca423XXXXXXXXXX09a6f75849b&AuthType=0&Computer=WI N-1TLJMBOFIT6&Finger=A45A2E5E3&IP= HTTP/1.1" 200 53
171.105.xxx.xxx - - [17/Apr/2025:04:59:01 +0800] "GET /RAPAgent.XGI?CMD=GETApplication&AppID=APP00000001&Language=ZH-CN&Us er=admin&PWD=202cb962acXXXXXXXXXX07152d234b70&AuthType=0&Computer=WI N-1TLJMBOFIT6&Finger=A45A2E5E3&IP= HTTP/1.1" 200 -
171.105.xxx.xxx - - [17/Apr/2025:04:59:01 +0800] "GET /RAPAgent.XGI?CMD=GETApplication&AppID=APP00000001&Language=ZH-CN&Us er=admin&PWD=827ccb0eeXXXXXXXXXX6891f84e7b&AuthType=0&Computer=WI N-1TLJMBOFIT6&Finger=A45A2E5E3&IP= HTTP/1.1" 200 53
171.105.xxx.xxx - - [17/Apr/2025:04:59:01 +0800] "GET /RAPAgent.XGI?CMD=GETApplication&AppID=APP00000001&Language=ZH-CN&Us er=admin&PWD=e10adc39XXXXXXXXXX20f883e&AuthType=0&Computer=WI N-1TLJMBOFIT6&Finger=A45A2E5E3&IP= HTTP/1.1" 200 53
9.某应用虚拟化软件日志找到的其他可疑 IP 登录记录详情,可疑 IP116.11.xxx.xxx 于 2025/06/13 17:44:16 使用 admin/123 成功登录,202cb962acXXXXXXXXXX07152d234b70 为 md5 加密后结果,该 IP 有过爆破行为并且成功,字典与 171.105.xxx.xxx 相似度较高, 且为国内 IP 需重点关注
116.11.xxx.xxx - - [13/Jun/2025:17:44:16 +0800] "GET / HTTP/1.1" 200 9427
116.11.xxx.xxx - - [13/Jun/2025:17:45:38 +0800] "GET /RAPAgent.XGI?CMD=GetClientExeVer HTTP/1.1" 200 35
116.11.xxx.xxx - - [13/Jun/2025:17:45:38 +0800] "GET /RAPAgent.XGI?CMD=GETApplication&AppID=APP00000001&Language=ZH-CN&User=admin&PWD=a66f877XXXXXXXXXXfaf166fb243a&AuthType=0&Computer=WI N-1TLJMBOFIT6&Finger=A45A2E5E3&IP= HTTP/1.1" 200 53
116.11.xxx.xxx - - [13/Jun/2025:17:45:41 +0800] "GET /RAPAgent.XGI?CMD=GETApplication&AppID=APP00000001&Language=ZH-CN&Us er=admin&PWD=21232f297XXXXXXXXXX4a801fc3&AuthType=0&Computer=WI N-1TLJMBOFIT6&Finger=A45A2E5E3&IP= HTTP/1.1" 200 53
116.11.xxx.xxx - - [13/Jun/2025:17:45:49 +0800] "GET /RAPAgent.XGI?CMD=GETApplication&AppID=APP00000001&Language=ZH-CN&Us er=admin&PWD=c4ca423XXXXXXXXXX6f75849b&AuthType=0&Computer=WI N-1TLJMBOFIT6&Finger=A45A2E5E3&IP= HTTP/1.1" 200 53
116.11.xxx.xxx - - [13/Jun/2025:17:45:58 +0800] "GET /RAPAgent.XGI?CMD=GETApplication&AppID=APP00000001&Language=ZH-CN&Us er=admin&PWD=c20ad4d7XXXXXXXXXXbff6710&AuthType=0&Computer=WI N-1TLJMBOFIT6&Finger=A45A2E5E3&IP= HTTP/1.1" 200 53
116.11.xxx.xxx - - [13/Jun/2025:17:46:05 +0800] "GET /RAPAgent.XGI?CMD=GETApplication&AppID=APP00000001&Language=ZH-CN&Us er=admin&PWD=202cb962acXXXXXXXXXX07152d234b70&AuthType=0&Computer=WI N-1TLJMBOFIT6&Finger=A45A2E5E3&IP= HTTP/1.1" 200 -
116.11.xxx.xxx - - [13/Jun/2025:17:46:19 +0800] "GET /RAPAgent.XGI?CMD=GETApplication&AppID=APP00000001&Language=ZH-CN&Us er=admin&PWD=81dc9XXXXXXXXXXed055&AuthType=0&Computer=WI N-1TLJMBOFIT6&Finger=A45A2E5E3&IP= HTTP/1.1" 200 53
116.11.xxx.xxx - - [13/Jun/2025:17:46:21 +0800] "GET /RAPAgent.XGI?CMD=GETApplication&AppID=APP00000001&Language=ZH-CN&Us er=admin&PWD=827ccb0eeXXXXXXXXXX1f84e7b&AuthType=0&Computer=WI N-1TLJMBOFIT6&Finger=A45A2E5E3&IP= HTTP/1.1" 200 53
116.11.xxx.xxx - - [13/Jun/2025:17:46:44 +0800] "GET /RAPAgent.XGI?CMD=GETApplication&AppID=APP00000001&Language=ZH-CN&Us er=admin&PWD=e10adc3949bXXXXXXXXXX3e&AuthType=0&Computer=WI N-1TLJMBOFIT6&Finger=A45A2E5E3&IP= HTTP/1.1" 200 53
10.某应用虚拟化软件日志找到的其他可疑 IP 登录记录详情,可疑 IP125.76.xxx.xxx 于 2025/07/27 18:16:20 使用 admin/123 成功登录,202cb962acXXXXXXXXXX07152d234b70 为 md5 加密后结果,该 IP 无任何爆破行为,一次即成功,且为国内 IP 需重点关注
125.76.xxx.xxx - - [27/Jul/2025:18:16:20 +0800] "GET /RAPAgent.XGI?CMD=GETApplication&AppID=APP00000001&Language=ZH-CN&Us er=admin&PWD=202cb962acXXXXXXXXXX07152d234b70&AuthType=0&Computer=CW SERVER&Finger=AB267E136&IP= HTTP/1.1" 200 1661
11.由于客户数据库日志配置不记录成功日志,导致无法获取更多佐证信息;
12.应用服务器开始加密时间为 2025/7/31 16:22;
13.数据库服务器开始加密时间为 2025/7/31 15:39
14.加密器落地时间为 2025/7/31 16:22 且执行成功实施加密操作
攻击者攻击路线图
(二)漏洞利用攻击
2.1 某财务系统存在SQL注入和RCE漏洞
2025/4/5 17:44:10-2025/4/5 17:44:19 攻击者利用 keyEdit.aspx 接口存在的 sql 注入漏洞。
图 1 攻击者利用 sql 注入漏洞
攻击者首先修改 SQL Server 配置,启用高级选项并激活 OLE 自动化过程(如 sp_oacreate),为后续利用对象自动化功能执行系统命令铺平道路。随后,攻击者通过 wscript.shell 组件执行恶意命令,并尝试利用 SQL PowerShell(sqlps)运行 IEX(Invoke-Expression),从远程服务器(http://107.149.xxx.xxx:8000/new)下载并执行恶意脚本。这一系列操作旨在绕过安全限制,获取系统控制权,最终实现远程代码执行(RCE)。
图 2 攻击者执行的 sql 语句
由于应用是通过某代理软件映射到公网,通过某代理软件日志查询攻击者 ip 为 101.42.xxx.xxx
图 3 某代理软件日志 ip
通过该 ip 进行查询,发现攻击者第一次访问时间为 2025/04/05 16:54:01,最后一次访问时间为 2025/04/07 10:39:20.
图 4 攻击者访问某财务系统时间
2025/4/7 10:06:42 攻击者疑似利用 sysftprm.sys 驱动漏洞提权被拦截。
图5 360 拦截记录
2025/4/7 10:06:56 攻击者开始加密并清除 Windows 日志。
图6 Windows 日志被清除
攻击者**攻击路径图**
2.2 财务系统存在高危漏洞案例
服务器被植入勒索软件,文件被加密,加密文件的后缀为.roxaew,根据勒索界面和加密后缀判断该勒索软件为病毒家族 Weaxor 的变种病毒。本次中勒索软件的有一台主机,下面会逐一进行分析
- 通过攻击者加密时间分析,攻击是在 2025 年 9 月 24 日 14:31 分开始,9 月 24 日 15:21 分结束,共加密时长约 1 小时左右
2.基于 AppCompatCache 运行日志可定位攻击者 2025 年 9 月 24 日 14:31 分执行了加密器 tLTSWDS.exe
3.根据 Application.evtx 日志可确认在加密期间攻击者针对数据库进行 8 次爆破操作,均爆破失败
4.由于 MSSQLSERVER 在初始配置时未开启成功日志记录,导致无法获取更多可用于佐证的信息
5.Security.evtx 日志和 System.evtx 日志攻击者在加密时已经清除了操作日志,故无法获取更多加密前的行为
6.在分析加密后日志时,2025/9/24 14:34:25 发现 IP 192.168.xxx.xxx 有匿名登录请求, 表示远端主机(源 IP 192.168.xxx.xxx)对目标机器的网络服务(如 SMB、RPC、NetBIOS) 发起了匿名/空会话连接
7.日志显示:2025/9/24 14:42:24 名为 HLxxxx31218 的电脑,使用本地内置管理员账号(Administrator)通过网络成功登录到了 HLJZ-CWxxxxER 这台服务器
8.日志显示 JAMESPC 用 Guest 账号在你机器上做了身份验证,并且成功了。后续我们排查时发现该账号确实开启状态,并及时关闭
9.数据恢复完成后,未检索到财务系统的 Web 日志记录,疑似系统未启用相关日志功能, 或日志已被攻击者删除以规避溯源
10.结合我们针对该勒索家族的多次溯源经验,攻击途径高度疑似来源于财务系统的历史漏洞,或数据库端口直接映射至公网而遭到利用。客户联系厂商进行漏洞自检后,确认确实存在多个漏洞未修复,厂商目前对存在漏洞进行修复补丁操作;
攻击者攻击路线图
(三)横向渗透与权限扩散攻击
3.1 内网扩散导致多台服务器被加密
由于日志缺失,无法确定攻击者获取该服务器administrator密码的手段,通过192.168.xxx.xxx 映射在公网,推测攻击者通过公网爆破192.168.xxx.xxx RDP获取入口点。
图 1 iKuai端口映射图
2025/07/26/6:35:51.793 攻击者使用5.182.xxx.xxx使用administrator账户登录192.168.xxx.xxx 。
图 2 5.182.xxx.xxx连接ZHXXXZH-PC 192.168.xxx.xxx
图 3 攻击者使用administrator账号登录192.168.xxx.xxx
通过rdp缓存,拼凑出攻击者首次登录192.168.xxx.xxx的rdp图像。
图 4 rdp缓存图像
2025/07/26 6:38:52.000 攻击者上传advanced_port_scanner到 192.168.xxx.xxx。
图 5 advanced_port_scanner落地时间
2025/07/26 6:55:54.000(UTC+8) ZHANGZH-PC_192.168.xxx.xxx 执行netscan以及advanced_port_scanner扫描器
图 6 攻击者工具运行时间
2025/07/26 6:38:31.000- 25/07/26 7:11:02.000 ZHANGZH-PC 192.168.xxx.xxx扫描内网对存活smb445端口进行扫描。
图7 192.168.162.227第一次smb扫描开始
图 8 192.168.162.227第一次smb扫描结束
2025/07/26 6:39:58.000-2025/07/26 6:55:30.000(UTC+8) 攻击者通过mstsc连接192.168.xxx.xxx、192.168.xxx.xxx、192.168.xxx.xxx、等内网IP
图 9 192.168.xxx.xxx远程连接多个IP(图中时间为UTC+0)
2025/07/26 6:54:13.000 攻击者通过192.168.xxx.xxx对SHBAK01 192.168.xxx.xxx进行爆破。
图 10 192.168.162.227对SHBAK01 192.168.xxx.xxx进行爆破
2025/07/31 18:50:42.000 -2025/08/02 2:44:08.000 攻击者使用已获得权限的主机对域内主机进行smb爆破。
图 11 此次smb爆破最早时间
图 12 此次smb爆破最晚时间
经统计,推测于2025/08/02 2:44:08.000之前,图中涉及的服务器可能均已沦陷。
图 13 对内网进行smb爆破的主机
2025/08/04 18:41:17.000攻击者第一次通过213.171.xxx.xxx 使用administrator账户连接192.168.xxx.xxx,由于日志缺失,无法得知攻击者如何获取192.168.xxx.xxx权限,通过该ip曾映射rdp到公网,推测为攻击者通过公网rdp爆破获取该主机权限。
图 14 213.171.xxx.xxx连接192.168.xxx.xxx
2025/08/04 18:41:17.000-2025/08/04 19:59:05.000攻击者将工具上传到192.168.xxx.xxx, 其中包含了凭据窃取工具64.exe(原名为mimikatz)、LostMyPassword.exe, 远程执行工具PsExec.exe, 端口扫描与服务发现工具Advanced_Port_Scanner_2.5.3869以及后门 + 隧道工具windefender_538.exe。
图 15 攻击者于192.168.xxx.xxx上传的攻击者工具
图 16 攻击者于192.168.xxx.xxx上传的攻击者工具
2025/08/04 19:59:05.000攻击者切换213.252.xxx.xxx 使用administrator账户再次rdp连接192.168.xxx.xxx。
图 17 213.252.247.140连接192.168.xxx.xxx
2025/08/04 19:16:51.000-2025/08/04 21:32:34.000 192.168.xxx.xxx对192.168.xxx.xxx持续爆破。
图18 192.168.xxx.xxx对192.168.xxx.xxx持续爆破
2025/08/04 20:00:00.000 攻击者在192.168.xxx.xxx主机上运行了advanced_port_scanner_2.5.3869.exe以及windefender_538.exe
windefender_538.exe为攻击者规避安全软件并部署代理隧道的工具,通过 cmd.exe(执行了位于临时目录的批处理文件,并启动了 reg.exe写入 LocalAccountTokenFilterPolicy=1(提升/放宽本地账户令牌过滤),随后通过 sc.exe创建并启动名为 kernels 的服务,该服务以 cmd.exe 启动 frpc.exe并加载 win.toml。
图 19 攻击者运行代理工具frpc.exe
图 20 windefender_538.exe进程链
其中Win.toml为frp配置文件,指向了攻击者服务器91.199.xxx.xxx的443端口,传输协议为quic
图 21 frp配置文件Win.toml
2025/08/05 1:36:15.000 攻击者在192.168.xxx.xxx通过powershell加载了一个脚本,该脚本作用是修改 Windows Defender 的运行行为,例如:
1)启用或禁用实时保护、IOAV 保护、脚本扫描等功能。
2)配置扫描计划(Quick Scan / Full Scan)、扫描时间和扫描频率。
3)设置 PUA(Potentially Unwanted Application,潜在不需要程序)保护模式。
4)设置威胁等级的默认处理动作(如高危、低危、未知威胁的处理方式)。
5)配置排除项,包括路径、文件扩展名和进程。
6)设置签名更新策略和行为监控参数。
7)启用或禁用各种 Defender 功能,例如邮件扫描、可移动驱动器扫描、网络文件扫描等。
图 22 攻击者导入修改 Windows Defender的powershell脚本
2025/08/05 8:15:40.000 由 192.168.xxx.xxx ZHxxxW 第一次登录 SHHRSVROLD 192.168.xxx.xxx。
图 23 192.168.xxx.xxx登录192.168.xxx.xxx
2025/08/05 8:15:40.000 - 25/08/06 14:47:42.000期间192.168.xxx.xxx、192.168.xxx.xxx、等内网IP均登录过SHHXXXXXXD。
图24 登录IP
2025/08/08 0:14:35.000 由192.168.xxx.xxx第一次爆破成功登录192.168.xxx.xxx。
图 25 192.168.xxx.xxx第一次被爆破成功
2025/08/10 21:22:23.000 攻击者从192.168.xxx.xxx登录并驻留SHBAK01至2025/09/07 22:58:23.000,EventCode 4624 代表登录,EventCode 4634代表注销。
图 26 192.168.xxx.xxx远程登录至192.168.xxx.xxx驻留长达约1个月
2025/08/10 21:22:24.000 通过powershell运行一串由Base64加密的脚本。
图 27 攻击者执行powershell
Base64解密后,从 Veeam Backup 的 SQL 数据库中读取加密的凭据并解密。
图28 攻击者执行的powershell具体内容
2025/08/18 10:21:16.000攻击者从主机 zhxxxgzh-pc 192.168.xxx.xxx启动了一个远程桌面连接,目标是 192.168.xxx.xxx。
图29 攻击者从192.168.xxx.xxx连接192.168.xxx.xx
2025/09/05 4:31:28.000- 25/09/11 4:05:39.000 攻击者在每天凌晨4点多通过wmi在192.168.xxx.xxx上查询该计算机上的安全软件。
图 30 攻击者第一次于192.168.xxx.xxx通过WMI查询主机上的杀软
图 31 查询杀软时间
图 32 攻击者最后一次于192.168.xxx.xxx通过WMI查询主机上的杀软
2025/09/07 14:57:05.000 192.168.xxx.xxx通过web界面登录192.168.xxx.xxx。
图 33 加密前攻击者的最后一次登录
2025/09/07 14:59:31.000 通过192.168.xxx.xxx 登录192.168.xxx.xxx ESXI的ssh。
图 34 加密前攻击者的最后一次登录
2025/09/07 15:03:49.000 从192.168.xxx.xxx通过ssh连接192.168.xxx.xxx。
图 35 加密前攻击者的最后一次登录
2025/09/07 15:07:16.000 192.168.xxx.xxx通过ssh连接 192.168.xxx.xxx。
图 36 加密前攻击者的最后一次登录
2025/09/07 15:14:57.000 192.168.xxx.xxx登录192.168.xxx.xxx ESXI WEB界面并启用ssh。
图 37 加密前攻击者的最后一次登录
2025/09/07 15:23:29.000 通过192.168.xxx.xxx 登录192.168.xxx.xxx ESXI的ssh。
图 38 加密前攻击者的最后一次登录
|
发表于 2026-4-27 16:07
|楼主
发表于 2026-4-22 20:48
分享到朋友圈
