【成功案例】wman勒索病毒近期再度活跃,一次覆盖15台服务器的完整应急响应与溯源恢复实录
前言
.wman后缀的勒索病毒最近又出现在了多个企业的安全事件工单里。它并非一个全新的面孔,而是Rast gang家族在持续迭代中推出的新变种。早在2025年,Solar应急响应团队就已经捕获过该家族的样本,其加密器由Rust编写,保留了该团伙一贯的手动交互启动风格。到了今年,我们注意到wman的活跃态势有明显回升,客户现场反馈的文件锁定特征非常统一:原始扩展名被追加为.wman,桌面壁纸被替换为勒索提示界面,同时在桌面及各磁盘目录都会预留一份名为DECRYPTION_INFORMATION.html的勒索信。
在技术分析层面,wman还保留了一个颇具辨识度的细节:加密器运行时不会加密与其自身处于同级目录下的文件。
本文基于一起经脱敏处理的真实事件,从样本行为、加密逻辑、攻击路径及加固建议等角度进行复盘,把全流程的技术细节整理成文。希望能给正在应对类似情况的同行提供一份可直接参考的实战记录。
一、Rast gang家族画像与wman的技术渊源
在切入本次事件之前,有必要先把wman所处的家族背景理清楚。Rast gang是一个以Rust语言编写勒索软件的网络犯罪组织,自2023年12月起在国内持续活跃,我们跟踪到的政企受害单位已超过20家。与多数追求长期潜伏的团伙不同,Rast gang的运营节奏偏快,他们并不执着于在内网进行大规模的横向渗透,而是倾向于在获取边界服务器权限后,迅速通过RDP登录手动释放勒索载荷。
Rast gang勒索软件运行后显示的控制台界面,攻击者需手动按下Ctrl+Shift+F1热键并输入PIN码后方可启动加密流程,体现了该家族"人工现场操作"的攻击风格
这种"人工现场操作"的风格在勒索软件里并不多见。攻击者需要亲自登录到目标服务器,启动带有交互界面的加密器,经过热键唤醒、PIN码验证、加密模式选择等步骤后才能执行文件锁定。也正因如此,该家族对边界服务器的RDP暴露面与弱口令极为依赖。
在工具链方面,Rast gang的投递组件相当固定。获取权限后,通常会先释放Zapp工具停止指定进程与服务,随后删除卷影拷贝与系统日志,若遇到EDR拦截则会尝试用Revo Uninstaller强制卸载安全软件。接着投递mimikatz抓取内存凭证,再配合kportscan、netscan等扫描器探索内网可触达的目标。此外,该团伙长期将Neshta感染型病毒作为Dropper,在特定目录下释放勒索主体并启动,这一手法在2019至2021年间也曾被用于投递Buran、GlobeImposter、Phobos等老牌勒索家族。
!
Rast gang典型投递组件清单,涵盖进程管理、日志清理、安全软件卸载、凭证窃取及内网扫描等多类工具
从数据库层面来看,Rast gang早期版本通过FTP回传受害者信息,后期改为连接远程MySQL数据库记录计算机名、联系邮箱及随机生成的company_id。我们对脱取攻击者的数据库记录进行分析后发现,受害机器命名中涉及ERP、MES、DC、ECM、Veeam、Jenkin、Hikvision等业务关键词,说明该家族对制造业、安防监控及企业信息化系统的兴趣较高。
基于数据库中受害机器名提取的业务类型分布,涵盖ERP、MES、域控、企业内容管理、虚拟化平台及安防监控等方向
wman作为Rast gang的变种,完整继承了上述家族基因。本次捕获的样本manager.exe同样由Rust编译,保留了手动交互启动的逻辑,加密后追加.wman后缀,并通过DECRYPTION_INFORMATION.html与受害者建立联系。理解这些家族共性,是后续制定恢复与溯源策略的重要前提。
二、事件现场与应急响应启动
2026年5月中旬,某企业内部业务集群遭遇大规模加密。初步清点后有15台服务器受到影响,文件后缀被统一修改为.wman,桌面壁纸被替换为黑客自定义的勒索界面,各磁盘目录均出现了DECRYPTION_INFORMATION.html勒索信。从影响范围来看,攻击者显然已经完成了一定程度的内网横向移动,这也说明本次攻击者获取的初始权限具备较高的内网可达性。
服务器内被加密后的文件状态,正常扩展名被追加为.wman后缀,文件名结构为原始名称.标识符.邮箱.wman
现场处置的第一步是隔离止血。将受影响服务器从生产网络中剥离,阻断攻击者可能存在的持续访问通道,同时保留内存与磁盘镜像作为后续分析素材。随后开始并行推进两条线:
- 对捕获的加密器样本进行逆向分析,梳理其加密机制以评估数据恢复可行性
- 对未受影响的边界设备与跳板机进行日志筛查,为后续溯源做准备
三、加密器逆向与行为分析
本次捕获的加密器样本为manager.exe,文件大小约788 KiB,经沙箱初步分析后确认其为32位Windows可执行程序,由Rust语言编译。样本的加密后缀格式为.[[随机标识符]].[[联系邮箱]].wman,本次事件中出现的联系邮箱为yatesnet@cock.li。
manager.exe在沙箱中的静态分析结果,显示文件类型、大小、哈希值及操作系统适配信息
3.1 加密算法与密钥管理逻辑
通过逆向分析,我们梳理出wman的加密体系采用"RSA + ChaCha20_Poly1305"的混合加密结构。程序内置了硬编码的RSA公钥,用于保护后续生成的对称加密密钥;而实际的文件加密则由ChaCha20_Poly1305流密码完成。
在密钥生成阶段,样本调用BCryptGenRandom与SystemFunction036两套API初始化随机数池,再通过Produce_Random_Data函数派生出32字节的ChaCha20密钥与12字节的Nonce。从代码逻辑来看,加密器在启动后的模式选择入口会统一完成全部密钥的初始化工作,随后将加密上下文传递给各文件加密线程。
wman加密器主执行流程,涵盖入口模式选择、密钥统一生成、线程分配、目录扫描及文件加密等阶段
我们在逆向过程中注意到一个特殊的技术细节:该样本在文件加密时,几乎所有线程都复用了同一个加密上下文。这意味着同一轮攻击中,所有被加密文件实际上处于相同的ChaCha20密钥流保护之下。此外,wman在加密范围上做了明显限制:单文件最多仅加密前512KB数据,超出部分保持原始状态不变。同时,加密器会跳过与自身处于同级目录的文件,这一特征在现场排查时得到了充分验证。
原始文件与加密文件的十六进制对比,可见加密操作仅作用于文件头部特定区域,后续数据保持明文结构
3.2 逆向分析对恢复工作的价值
上述逆向结论为数据恢复工作提供了关键的技术依据。由于ChaCha20_Poly1305在本次样本实现中未启用tag验证,且存在"同一密钥流复用"与"仅加密前512KB"两大特征,这为我们后续通过技术手段还原文件创造了条件。
四、数据恢复实施
基于逆向阶段梳理出的加密逻辑,我们制定了针对性的恢复方案。现场15台服务器涉及的业务数据量较大,且文件类型分散,涵盖数据库文件、文档、日志及配置文件等。如果采用常规的备份恢复方式,客户将面临数天的业务中断与数据补录成本;而支付赎金不仅无法保证解密成功,还会助长攻击者的后续活动。
基于逆向分析结果构造的批量恢复工具运行界面,正在对15台服务器中的加密文件进行自动化还原
整个恢复工作持续了3天。时间安排如下:
| 天数 |
工作内容 |
| 第一天 |
密钥推导与恢复工具的开发验证 |
| 第二天 |
批量部署至各台服务器执行解密 |
| 第三天 |
数据完整性校验与业务系统联调 |
最终15台服务器中的加密文件恢复成功率达到99%,丢失的1%主要集中在攻击者加密过程中被异常中断损坏的极个别文件上。客户核心业务系统在较短时间内重新上线,避免了因长期停服带来的连锁损失。
五、攻击路径溯源与加固建议
数据恢复完成后,我们将重心转向攻击路径的还原与现场加固。溯源工作基于客户提供的系统日志、安全设备告警及我们在现场提取的残留攻击工具展开。以下时间线与IP信息已按客户要求做脱敏处理,仅保留技术特征用于分析参考。
5.1 初始入侵与权限流转
梳理RDP登录日志后,我们发现攻击者的首次成功登录发生在2026年3月13日15时28分,来源IP归属于摩洛哥马拉喀什地区。此后同一账号在当天17时38分再次从瑞士苏黎世登录,两个月后的5月19日与20日,又分别出现了来自德国法兰克福与俄罗斯格罗兹尼的登录记录。
Windows安全日志中记录的首次异常RDP登录成功事件,时间戳为2026年3月13日,来源IP经脱敏处理
对首次登录来源IP的威胁情报关联查询结果,显示该IP位于摩洛哥马拉喀什地区,属于境外高风险资产
Windows安全日志中记录的第二次异常RDP登录成功事件,时间戳为2026年3月13日,来源IP经脱敏处理
对第二次登录来源IP的威胁情报关联查询结果,显示该IP位于瑞士 苏黎世州 苏黎世地区,属于境外高风险资产
Windows安全日志中记录的第三次异常RDP登录成功事件,时间戳为2026年5月19日,来源IP经脱敏处理
对第三次登录来源IP的威胁情报关联查询结果,显示该IP位于德国 黑森州地区
Windows安全日志中记录的第四次异常RDP登录成功事件,时间戳为2026年5月19日,来源IP经脱敏处理
对第四次登录来源IP的威胁情报关联查询结果,显示该IP位于俄罗斯 车臣共和国 地区,属于境外高风险资产
这种跨越多国、跨度长达两个月的登录模式,与典型的单一攻击者直接控制特征不符。我们更倾向于认为,攻击者所持有的远控权限曾在地下黑市中进行过流转,不同阶段的登录者可能是购买了同一批访问权限的不同代理人员。Rast gang本身并不以高级APT式的0day利用著称,其入侵入口多为RDP爆破或历史漏洞组合,获取权限后在暗网中转售也符合该类犯罪团伙的常见变现路径。
来源思而听勒索病毒防护PPT:访问代理权限售卖介绍
5.2 权限维持与内网横向
在5月20日凌晨,日志中出现了一个名为"Support"的账号成功登录的记录。经客户确认,该账号并非业务部门创建,属于攻击者植入的后门用户。该账号随后被用于执行一系列内网探测与加密准备操作。
Windows安全日志中发现的异常本地账号"Support"登录记录,该账号为攻击者创建的后门账户
攻击者在获取Support账号权限后,迅速投放了多套内网渗透工具。我们在现场提取到的残留工具包括:
- NLbrute:RDP暴力破解工具
- Mimikatz:凭证读取工具
- NetScan:网络服务扫描工具
这些工具的组合使用,说明攻击者在加密前进行了系统性的内网资产探测与权限收集。
在跳板机中提取到的攻击者残留工具集,涵盖RDP爆破、凭证窃取及网络扫描三类功能
以下为攻击者在内网横向扫描的结果,相关内容将进行脱敏处理
NLbrute工具生成的内网RDP爆破结果记录,显示攻击者对网段内多主机进行了批量协议探测
Mimikatz内存凭证提取后的输出片段,攻击者通过该工具获取了多台服务器的横向移动凭据
攻击者在操作过程中表现出一定的反溯源意识。我们在日志中发现了明确的安全日志清理痕迹,部分早期的RDP爆破记录已被删除,这给完整还原初始入侵路径带来了一定困难。好在Windows日志的残留片段与威胁情报平台的IP关联,仍足以支撑起上述时间线的重建。
5.3 加密执行与收尾
2026年5月20日凌晨,攻击者在完成内网扫描与权限收集后,开始批量释放wman加密器。其执行策略是以当前控制的跳板机为起点,先向内部14台服务器推送加密载荷并执行,最后才对跳板机本身进行加密并退出远程连接。这种"先横向、后本地"的加密顺序,与Rast gang家族"获取权限后立即释放"的常规打法一致,只是本次由于前期已获取大量内网凭据,横向范围从单台扩大到了15台。
其中一台服务器上被加密文件的目录清单,可见文件后缀已被统一修改为.wman格式
5.4 加固措施
针对上述攻击路径,我们协助完成了以下重点加固:
- 入口收敛:全面梳理互联网侧RDP暴露面,关闭非必要端口,将远程维护入口收缩至VPN或零信任网关之后
- 认证强化:对所有服务器及管理账号启用多因素认证,强制更换弱口令,禁用默认Administrator账号的直接登录
- 权限清理:删除Support等异常账号,核查近三个月内新增的所有本地与域账号,收紧普通用户的本地管理员权限
- 日志留存:部署集中化日志采集平台,确保安全事件日志至少保留180天,并开启日志防篡改保护
- 内网分段:按业务维度划分VLAN,限制服务器之间的横向访问,特别是RDP、SMB等高风险协议的跨段流动
勒索攻击的对抗是一场持久战。攻击者的工具在迭代,权限获取与流转的方式在变化,但防守方的核心逻辑始终清晰:收敛暴露面、保留证据链、提升响应速度、建立恢复能力。希望这次案例能为正在建设自身勒索防护体系的企业和同行,提供一份有实际操作价值的参考。
[复制链接]
发表于 2026-6-11 08:05
|
发表于 2026-6-11 10:01
|楼主
分享到朋友圈
