事件背景

近期，一(yi)款后綴為.wxx的勒索軟(ruan)件(jian)家族攻擊(ji)勢(shi)頭上(shang)漲明顯。近一(yi)個(ge)月(yue)內，360反勒索服務已(yi)經處理了超100起與此勒索軟件相(xiang)關的反饋。該勒索(suo)軟(ruan)件(jian)就是(shi)大(da)名鼎鼎的Weaxor勒索軟件家族(zu)。

Weaxor是曾經(jing)輝煌一(yi)時的Mallox勒索軟(ruan)件家族(zu)的“品牌重(zhong)塑”版本(ben)。根(gen)據360的監控情報，Weaxor家族在國內的攻擊活動(dong)最(zui)早出現于2024年10月，進入2025年，該勒(le)索家(jia)族持續霸榜國內(nei)勒(le)索攻擊(ji)Top1的位(wei)置(zhi)。

近(jin)年來，勒索軟件攻擊(ji)愈發復雜和精密：攻擊者不再局限于簡單的惡意郵件(jian)投遞，而是更傾向(xiang)于(yu)采用多(duo)階段、多(duo)載(zai)荷的復(fu)合攻(gong)擊(ji)鏈(lian)條來規避(bi)安全(quan)檢(jian)測，近期我們(men)接到的(de)多起遭到Weaxor勒(le)索(suo)攻擊(ji)的反饋也印(yin)證了這一(yi)變化。經過對多(duo)起反饋案(an)例的深入比對(dui)分析，我們發現Weaxor的攻擊展現出(chu)了現代勒索(suo)團伙(huo)的高級技術手段，即以受損的(de)MSSQL服務(wu)器作為初始入口點，通過PowerShell腳本分階段投遞惡意(yi)載荷，再利(li)用進程注入和AMSI繞過(guo)技術(shu)規避防護，最終通過(guo)Cobalt Strike建立持久化控制并部署勒索軟(ruan)件(jian)。

下文是360技(ji)術(shu)團隊針(zhen)對(dui)一起典型的Weaxor勒(le)索攻擊案例展開的技(ji)術(shu)分析，剖析了該勒(le)索軟件在攻擊過程中(zhong)所利用的技(ji)術(shu)手段。

包裝載荷·隱蔽攻擊

這(zhe)起(qi)攻(gong)擊案例的獨特之處(chu)在于其精心(xin)設計的多層載荷架(jia)構——攻擊者將惡意代(dai)碼(ma)分(fen)解為(wei)兩個獨(du)立的(de)載(zai)荷包，分(fen)別負責防御規避(bi)和ShellCode解(jie)碼，通(tong)過(guo)這種分工協作(zuo)的方式，大大提高了攻(gong)擊的成(cheng)功率和隱(yin)蔽性(xing)。

?

圖1. 典型Weaxor勒索攻擊流程示意圖(tu)?

該攻擊流程是由(you)一系列(lie)技術步(bu)驟構成的(de)“攻(gong)擊鏈”，下圖展示(shi)了該(gai)“攻(gong)擊鏈”的技術細節。

?

圖(tu)2. Weaxor勒(le)索攻(gong)擊(ji)鏈(lian)技(ji)術(shu)細節

需要特別強調(diao)的是：我(wo)們(men)所觀察到的國內本輪(lun)攻擊中，利用各種主流OA系統實(shi)現入侵已經成為常規態(tai)勢，這(zhe)一特點值得所有(you)政企單位重視(shi)。在當前案例中，勒索軟件也是利用企(qi)業使用(yong)的某(mou)款主(zhu)流(liu)OA系統(tong)，成(cheng)功入侵其內部網絡(luo)。我們記錄的攻擊進程(cheng)鏈信(xin)息如下：

?

圖3. 針對OA系統的(de)入(ru)侵進程鏈

入(ru)侵成功(gong)后，攻擊者(zhe)立刻執行PowerShell命令，下載名為(wei)“beta”的文件，該文件實際(ji)上是一個(ge)經(jing)過代碼混淆的(de)PowerShell腳本(ben)。分析人員(yuan)對該腳(jiao)本(ben)的混(hun)淆代碼進行了多輪去混淆(xiao)后，發現其為(wei)第(di)一階段的一個(ge)ShellCode內存載荷(he)。

?

圖4. 經多(duo)輪去混淆后的PowerShell解密代碼(ma)

通過對代碼中的核心功能再(zai)次進行異或(huo)解密，得到的ShellCode確認是一段Cobalt Strike Beacon。這(zhe)段Beacon會通過HTTP協(xie)議，與黑客(ke)所搭建(jian)的遠端Cobalt Strike?C2服(fu)務器通信，實現數據(ju)竊取與Weaxor勒索(suo)軟(ruan)件下發(fa)。

?

圖(tu)5. 連接(jie)遠(yuan)端Cobalt Strike?C2 服務器?

第(di)一(yi)階段：前置部署

對這一段載(zai)荷(he)的ShellCode代(dai)碼進行(xing)功能解析，發現其會進行(xing)如下四個(ge)步驟(zou)的工作：

一、函數動態解析
不依(yi)賴靜態導(dao)入表，通(tong)過遍歷PEB和哈希計(ji)算，在內存中(zhong)(zhong)動態(tai)地查找并獲取所需(xu)的(de)Windows API函(han)數地址（如LoadLibraryA, VirtualAlloc以及wininet.dll中(zhong)(zhong)的(de)網絡函(han)數）。

二、建立(li)遠程(cheng)連(lian)接
使用wininet.dll庫的功能，連接(jie)到(dao)硬編碼的C2服務器 107.148.52[.]26。

三、獲取在(zai)線載(zai)荷(he)
偽裝成正常的瀏覽器(qi)流(liu)量，向服務器(qi)請(qing)求(qiu)一(yi)個看似無害的JS文件(jian)，但實際上服務(wu)器會返回第二階段的惡意代(dai)碼。

四、執行內存載荷
在內存(cun)中(zhong)分配一(yi)塊可(ke)執行(xing)空間，將下載的第二階(jie)段shellcode代碼放入其中，然(ran)后跳轉到該地址執行，從(cong)而完(wan)成整個攻擊(ji)鏈的部署(shu)。

第二階段：載荷攻擊

完成一(yi)階(jie)段載(zai)荷(he)部署(shu)后，病(bing)毒會下發二階(jie)段載(zai)荷(he)：

?

圖(tu)6. 內存(cun)中(zhong)的第二階段(duan)ShellCode攻擊載荷?

完成載(zai)荷的加載(zai)后，病毒會繼續通過動態解密方式執行(xing)其(qi)功能代碼，最(zui)終釋放一個PE文件(jian)——這就是(shi)要被投放到受害者設備中(zhong)的Weaxor勒索軟件。

?

圖(tu)7. 投放Weaxor勒索(suo)軟(ruan)件

Weaxor勒索軟件樣本分析(xi)

前期準備

我們進一步對被(bei)釋放出的(de)Weaxor勒索軟件樣(yang)本進行分析，發現(xian)其(qi)啟(qi)動后，首(shou)先會進行一些準備(bei)工(gong)作，如更改(gai)電(dian)源方案為高(gao)性(xing)能模式，以加(jia)快加(jia)密速度。

?

圖8. 勒索軟(ruan)件將系統電源方案改為(wei)高性能模式?

完成(cheng)后(hou)，對當前(qian)運行環境進(jin)行提(ti)權：

?

圖9. 提權操(cao)作

此外(wai)，勒索軟(ruan)件還會根據系統語(yu)(yu)言(yan)對可能(neng)的俄(e)語(yu)(yu)區設備進行排(pai)(pai)除，被排(pai)(pai)除掉的語(yu)(yu)言(yan)為：俄(e)語(yu)(yu)、白俄(e)羅斯語(yu)(yu)、烏克蘭(lan)語(yu)(yu)、土庫曼語(yu)(yu)、哈薩克語(yu)(yu)。

?

圖10. 根(gen)據系統語(yu)言排除俄語(yu)區(qu)設備

Weaxor還會刪(shan)除(chu)(chu)特定(ding)注冊表和刪(shan)除(chu)(chu)卷(juan)影副本防止數據恢復。

?

圖11. 勒索軟(ruan)件防止數據恢復(fu)

在進(jin)行核心的(de)加密功能之(zhi)前(qian)，Weaxor還會通過POST的方法將一些用戶(hu)信(xin)息(xi)（系(xi)統信(xin)息(xi)、用戶(hu)名(ming)信(xin)息(xi)、網卡信(xin)息(xi)、磁盤信(xin)息(xi)等）發送(song)到自己的C2服務器上（193.143.1[.]153），以便進行數據統計。

?

圖(tu)12. 發送(song)用戶信息(xi)到C2服務器?

文件(jian)加密(mi)

排除

完(wan)成這些準(zhun)備工作后，勒索軟件(jian)便(bian)開始執行核(he)心的文(wen)件加(jia)密流(liu)程(cheng)。整體(ti)的加密流(liu)程(cheng)會排除(chu)掉(diao)一些目錄，其列表如下：

msocache、$windows.~ws、system volume information、intel、appdata、perflogs、programdata、google、application data、tor browser、boot、$windows.~bt、mozilla、boot、windows.old、Windows Microsoft.NET、WindowsPowerShell、Windows NT、Windows、Common Files、Microsoft Security Client、Internet Explorer、Reference、Assemblies、Windows Defender、Microsoft ASP.NET、Core Runtime、Package、Store、Microsoft Help Viewer、Microsoft MPI、Windows Kits、Microsoft.NET、Windows Mail、Microsoft Security Client、Package Store、Microsoft Analysis Services、Windows Portable Devices、Windows Photo Viewer、Windows Sidebar

此外(wai)，勒索軟件(jian)還(huan)(huan)會排(pai)除(chu)(chu)特定擴展名(ming)的文件(jian)，除(chu)(chu)了一(yi)些常見文件(jian)擴展名(ming)外(wai)，還(huan)(huan)重點排(pai)除(chu)(chu)了其家族的其他(ta)加密(mi)擴展名(ming)，以(yi)免(mian)重復加密(mi)影響效率。排(pai)除(chu)(chu)的擴展名(ming)如(ru)下(xia)：

.386、.adv、.ani、.bat、.bin、.cab、.cmd、.com、.cp、.cur、.deskthemepack、.diagcfg、.diagpkg、.diangcab、.dl、.drv、.exe、.hlp、.hta、.ic、.icns、.ico、.ics、.idx、.key、.ldf、.lnk、.lock、.mod、.mpa、.msc、.msi、.msp、.msstyles、.msu、.nls、.nomedia、.ocx、.prf、.rom、.rox、.rtp、.scr、.shs、.sp、.sys、.theme、.themepack、.weax、.wex、.wpx、.wxr

加密(mi)

Weaxor在加(jia)密(mi)過(guo)程中采(cai)用了較(jiao)為主流的雙層加(jia)密(mi)架構，即使用ChaCha20流密(mi)碼算法(fa)(fa)對(dui)文件數據進行加(jia)密(mi)，并(bing)通(tong)過(guo)AES算法(fa)(fa)對(dui)ChaCha20的密(mi)鑰進行加(jia)密(mi)保護。

具體密鑰生(sheng)成(cheng)機制如下(xia)：

lChaCha20的加密密鑰由Windows系統(tong)的CryptGenRandom安全(quan)隨機數生成器產生；

lAES的加密(mi)密(mi)鑰來源(yuan)于Curve25519橢圓曲(qu)線(xian)密(mi)鑰交換(huan)算法生成(cheng)的共享密(mi)鑰，經(jing)SHA256哈希處(chu)理后得到；

lAES的初始化向量（Ⅳ）同樣通過CryptGenRandom函(han)數生成，確保每次加密(mi)的隨機性和安全性。

加密文件采(cai)用ChaCha20算法(fa)，初始化 ChaCha20密鑰的相(xiang)關代(dai)碼如下：

?

圖13. 初始化 ChaCha20密鑰(yao)

之后，勒索軟件會繼續通(tong)過Mersenne Twister（梅森(sen)旋轉算(suan)法）生成密鑰(yao)：

?

圖14. 使用Mersenne Twister生成密鑰?

完成后，再使用內置的Curve25519密鑰（長(chang)度0x20）和(he)AES算法來加密上(shang)述(shu)生成的密鑰數據。

?

圖15. 利用AES算法對密鑰數據進(jin)行加密保(bao)護

通過(guo)對(dui)上述加密流(liu)程的完整分析，我們發(fa)現其文件加密/解密系(xi)統的完整構架圖如下(xia)：

?

圖(tu)16. 加/解密系統構架(jia)?

在加密過程中，數據與密鑰的流(liu)向如下圖所示：

?

圖(tu)17. 數據與密鑰流向圖

加(jia)(jia)密(mi)的(de)最后階段，勒索軟件(jian)會向文(wen)件(jian)數據(ju)尾部追加(jia)(jia)加(jia)(jia)密(mi)標識(shi)符(fu)，防止自(zi)身被(bei)二次運行導致重復(fu)加(jia)(jia)密(mi)。

?

圖18. 設置(zhi)加密標識符?

最終被(bei)加(jia)密的文件均會被(bei)添加(jia).wxx后綴。

?

圖19. 被加密的文件后添加.wxx后綴

收(shou)尾

在完(wan)成(cheng)加(jia)密操作(zuo)后，Weaxor會在所有被(bei)加密的文件目錄中釋放(fang)名為FILE RECOVERY.txt的勒索信息(xi)，以此向受(shou)害者(zhe)勒索虛擬(ni)貨(huo)幣。

?

圖20. FILE RECOVERY勒索信

根據360對(dui)該(gai)勒索(suo)軟(ruan)件的(de)追蹤調查發(fa)現，Weaxor勒索(suo)軟(ruan)件的(de)贖金(jin)訴求范圍大約在8000~14000人民幣之(zhi)間。而第三(san)方數據(ju)恢復中(zhong)間商會在此(ci)價(jia)位(wei)基(ji)礎(chu)上，進一步加(jia)價(jia)收取手續費。

我們(men)不建議(yi)交贖金進行(xing)解密。漏(lou)洞不修復、安全隱患不排除，即便暫時恢復了(le)數據，也極有(you)可能再次被勒索軟(ruan)件入侵，陷入“二次加(jia)密”“三次加(jia)密”乃(nai)至“N次加(jia)密”的窘境。

360提(ti)供體(ti)系化防護

針對Weaxor的攻擊，360能(neng)夠提供體系化(hua)防(fang)(fang)護功能(neng)。對于Web服務攻擊防(fang)(fang)護與黑客入侵(qin)防(fang)(fang)護，覆蓋了主流(liu)勒索軟(ruan)件投毒的初始入口階段。

?

圖21. 黑客入侵防(fang)護(hu)與(yu)Web服(fu)務攻擊防(fang)護(hu)

而核(he)晶(jing)防(fang)護與高(gao)級威脅防(fang)護，可對黑(hei)客組織的攻防(fang)對抗(kang)與滲透(tou)攻擊行為，進行有效攔截。

?

圖22. 核晶(jing)防(fang)護與高級威脅防(fang)護

文檔防護(hu)針對核心的加密(mi)文件等異常(chang)行為，進(jin)行針對性攔(lan)截。

?

圖23. 文(wen)檔保護與反勒(le)索防護?

滲透痕跡檢測是為事前未安裝360安全衛(wei)士的受害設備，提供事后溯源的分析(xi)線索。

?

圖24. 滲透痕(hen)跡檢測?

安全(quan)建(jian)議

數據庫安全加固

l強化MSSQL服務器(qi)安全配置(zhi)：定期更(geng)新補丁，關閉不(bu)必(bi)要的(de)服務和端(duan)口

l實施最小(xiao)權限原(yuan)則：限制數據庫賬戶(hu)權限，禁用xp_cmdshell等危險存儲過程

l部署數據(ju)庫(ku)審計：啟用詳細的數據(ju)庫操作日(ri)志，監控異常查(cha)詢和命(ming)令執行

l網絡隔離(li)：將數據庫服(fu)務器部署在獨立的(de)網絡段，限制外部訪問

高級威脅檢(jian)測

l部署靠(kao)譜的殺毒(du)防護軟件：實(shi)現對(dui)終端(duan)行為的實(shi)時監控和威脅(xie)捕獲(huo)

具備內(nei)存掃描技(ji)術：檢測(ce)無文件攻擊(ji)和進程(cheng)注入行為