事件背景

近期，一款后綴為.wxx的勒索軟件家族攻擊勢頭上漲明顯。近一個月內(nèi)，360反勒索服務(wù)已經(jīng)處理了超100起與此勒索軟件相關(guān)的反饋。該勒索軟件就是大名鼎鼎的Weaxor勒索軟件家族。

Weaxor是曾經(jīng)輝煌一時的Mallox勒索軟件家族的“品牌重塑”版本。根據(jù)360的監(jiān)控情報，Weaxor家族在國內(nèi)的攻擊活動最早出現(xiàn)于2024年10月，進(jìn)入2025年，該勒索家族持續(xù)霸榜國內(nèi)勒索攻擊Top1的位置。

近年來，勒索軟件攻擊愈發(fā)復(fù)雜和精密：攻擊者不再局限于簡單的惡意郵件投遞，而是更傾向于采用多階段、多載荷的復(fù)合攻擊鏈條來規(guī)避安全檢測，近期我們接到的多起遭到Weaxor勒索攻擊的反饋也印證了這一變化。經(jīng)過對多起反饋案例的深入比對分析，我們發(fā)現(xiàn)Weaxor的攻擊展現(xiàn)出了現(xiàn)代勒索團(tuán)伙的高級技術(shù)手段，即以受損的MSSQL服務(wù)器作為初始入口點，通過PowerShell腳本分階段投遞惡意載荷，再利用進(jìn)程注入和AMSI繞過技術(shù)規(guī)避防護(hù)，最終通過Cobalt Strike建立持久化控制并部署勒索軟件。

下文是360技術(shù)團(tuán)隊針對一起典型的Weaxor勒索攻擊案例展開的技術(shù)分析，剖析了該勒索軟件在攻擊過程中所利用的技術(shù)手段。

包裝載荷·隱蔽攻擊

這起攻擊案例的獨特之處在于其精心設(shè)計的多層載荷架構(gòu)——攻擊者將惡意代碼分解為兩個獨立的載荷包，分別負(fù)責(zé)防御規(guī)避和ShellCode解碼，通過這種分工協(xié)作的方式，大大提高了攻擊的成功率和隱蔽性。

?

圖1. 典型Weaxor勒索攻擊流程示意圖?

該攻擊流程是由一系列技術(shù)步驟構(gòu)成的“攻擊鏈”，下圖展示了該“攻擊鏈”的技術(shù)細(xì)節(jié)。

?

圖2. Weaxor勒索攻擊鏈技術(shù)細(xì)節(jié)

需要特別強調(diào)的是：我們所觀察到的國內(nèi)本輪攻擊中，利用各種主流OA系統(tǒng)實現(xiàn)入侵已經(jīng)成為常規(guī)態(tài)勢，這一特點值得所有政企單位重視。在當(dāng)前案例中，勒索軟件也是利用企業(yè)使用的某款主流OA系統(tǒng)，成功入侵其內(nèi)部網(wǎng)絡(luò)。我們記錄的攻擊進(jìn)程鏈信息如下：

?

圖3. 針對OA系統(tǒng)的入侵進(jìn)程鏈

入侵成功后，攻擊者立刻執(zhí)行PowerShell命令，下載名為“beta”的文件，該文件實際上是一個經(jīng)過代碼混淆的PowerShell腳本。分析人員對該腳本的混淆代碼進(jìn)行了多輪去混淆后，發(fā)現(xiàn)其為第一階段的一個ShellCode內(nèi)存載荷。

?

圖4. 經(jīng)多輪去混淆后的PowerShell解密代碼

通過對代碼中的核心功能再次進(jìn)行異或解密，得到的ShellCode確認(rèn)是一段Cobalt Strike Beacon。這段Beacon會通過HTTP協(xié)議，與黑客所搭建的遠(yuǎn)端Cobalt Strike?C2服務(wù)器通信，實現(xiàn)數(shù)據(jù)竊取與Weaxor勒索軟件下發(fā)。

?

圖5. 連接遠(yuǎn)端Cobalt Strike?C2 服務(wù)器?

第一階段：前置部署

對這一段載荷的ShellCode代碼進(jìn)行功能解析，發(fā)現(xiàn)其會進(jìn)行如下四個步驟的工作：

一、函數(shù)動態(tài)解析
不依賴靜態(tài)導(dǎo)入表，通過遍歷PEB和哈希計算，在內(nèi)存中動態(tài)地查找并獲取所需的Windows API函數(shù)地址（如LoadLibraryA, VirtualAlloc以及wininet.dll中的網(wǎng)絡(luò)函數(shù)）。

二、建立遠(yuǎn)程連接
使用wininet.dll庫的功能，連接到硬編碼的C2服務(wù)器 107.148.52[.]26。

三、獲取在線載荷
偽裝成正常的瀏覽器流量，向服務(wù)器請求一個看似無害的JS文件，但實際上服務(wù)器會返回第二階段的惡意代碼。

四、執(zhí)行內(nèi)存載荷
在內(nèi)存中分配一塊可執(zhí)行空間，將下載的第二階段shellcode代碼放入其中，然后跳轉(zhuǎn)到該地址執(zhí)行，從而完成整個攻擊鏈的部署。

第二階段：載荷攻擊

完成一階段載荷部署后，病毒會下發(fā)二階段載荷：

?

圖6. 內(nèi)存中的第二階段ShellCode攻擊載荷?

完成載荷的加載后，病毒會繼續(xù)通過動態(tài)解密方式執(zhí)行其功能代碼，最終釋放一個PE文件——這就是要被投放到受害者設(shè)備中的Weaxor勒索軟件。

?

圖7. 投放Weaxor勒索軟件

Weaxor勒索軟件樣本分析

前期準(zhǔn)備

我們進(jìn)一步對被釋放出的Weaxor勒索軟件樣本進(jìn)行分析，發(fā)現(xiàn)其啟動后，首先會進(jìn)行一些準(zhǔn)備工作，如更改電源方案為高性能模式，以加快加密速度。

?

圖8. 勒索軟件將系統(tǒng)電源方案改為高性能模式?

完成后，對當(dāng)前運行環(huán)境進(jìn)行提權(quán)：

?

圖9. 提權(quán)操作

此外，勒索軟件還會根據(jù)系統(tǒng)語言對可能的俄語區(qū)設(shè)備進(jìn)行排除，被排除掉的語言為：俄語、白俄羅斯語、烏克蘭語、土庫曼語、哈薩克語。

?

圖10. 根據(jù)系統(tǒng)語言排除俄語區(qū)設(shè)備

Weaxor還會刪除特定注冊表和刪除卷影副本防止數(shù)據(jù)恢復(fù)。

?

圖11. 勒索軟件防止數(shù)據(jù)恢復(fù)

在進(jìn)行核心的加密功能之前，Weaxor還會通過POST的方法將一些用戶信息（系統(tǒng)信息、用戶名信息、網(wǎng)卡信息、磁盤信息等）發(fā)送到自己的C2服務(wù)器上（193.143.1[.]153），以便進(jìn)行數(shù)據(jù)統(tǒng)計。

?

圖12. 發(fā)送用戶信息到C2服務(wù)器?

文件加密

排除

完成這些準(zhǔn)備工作后，勒索軟件便開始執(zhí)行核心的文件加密流程。整體的加密流程會排除掉一些目錄，其列表如下：

msocache、$windows.~ws、system volume information、intel、appdata、perflogs、programdata、google、application data、tor browser、boot、$windows.~bt、mozilla、boot、windows.old、Windows Microsoft.NET、WindowsPowerShell、Windows NT、Windows、Common Files、Microsoft Security Client、Internet Explorer、Reference、Assemblies、Windows Defender、Microsoft ASP.NET、Core Runtime、Package、Store、Microsoft Help Viewer、Microsoft MPI、Windows Kits、Microsoft.NET、Windows Mail、Microsoft Security Client、Package Store、Microsoft Analysis Services、Windows Portable Devices、Windows Photo Viewer、Windows Sidebar

此外，勒索軟件還會排除特定擴展名的文件，除了一些常見文件擴展名外，還重點排除了其家族的其他加密擴展名，以免重復(fù)加密影響效率。排除的擴展名如下：

.386、.adv、.ani、.bat、.bin、.cab、.cmd、.com、.cp、.cur、.deskthemepack、.diagcfg、.diagpkg、.diangcab、.dl、.drv、.exe、.hlp、.hta、.ic、.icns、.ico、.ics、.idx、.key、.ldf、.lnk、.lock、.mod、.mpa、.msc、.msi、.msp、.msstyles、.msu、.nls、.nomedia、.ocx、.prf、.rom、.rox、.rtp、.scr、.shs、.sp、.sys、.theme、.themepack、.weax、.wex、.wpx、.wxr

加密

Weaxor在加密過程中采用了較為主流的雙層加密架構(gòu)，即使用ChaCha20流密碼算法對文件數(shù)據(jù)進(jìn)行加密，并通過AES算法對ChaCha20的密鑰進(jìn)行加密保護(hù)。

具體密鑰生成機制如下：

lChaCha20的加密密鑰由Windows系統(tǒng)的CryptGenRandom安全隨機數(shù)生成器產(chǎn)生；

lAES的加密密鑰來源于Curve25519橢圓曲線密鑰交換算法生成的共享密鑰，經(jīng)SHA256哈希處理后得到；

lAES的初始化向量（Ⅳ）同樣通過CryptGenRandom函數(shù)生成，確保每次加密的隨機性和安全性。

加密文件采用ChaCha20算法，初始化 ChaCha20密鑰的相關(guān)代碼如下：

?

圖13. 初始化 ChaCha20密鑰

之后，勒索軟件會繼續(xù)通過Mersenne Twister（梅森旋轉(zhuǎn)算法）生成密鑰：

?

圖14. 使用Mersenne Twister生成密鑰?

完成后，再使用內(nèi)置的Curve25519密鑰（長度0x20）和AES算法來加密上述生成的密鑰數(shù)據(jù)。

?

圖15. 利用AES算法對密鑰數(shù)據(jù)進(jìn)行加密保護(hù)

通過對上述加密流程的完整分析，我們發(fā)現(xiàn)其文件加密/解密系統(tǒng)的完整構(gòu)架圖如下：

?

圖16. 加/解密系統(tǒng)構(gòu)架?

在加密過程中，數(shù)據(jù)與密鑰的流向如下圖所示：

?

圖17. 數(shù)據(jù)與密鑰流向圖

加密的最后階段，勒索軟件會向文件數(shù)據(jù)尾部追加加密標(biāo)識符，防止自身被二次運行導(dǎo)致重復(fù)加密。

?

圖18. 設(shè)置加密標(biāo)識符?

最終被加密的文件均會被添加.wxx后綴。

?

圖19. 被加密的文件后添加.wxx后綴

收尾

在完成加密操作后，Weaxor會在所有被加密的文件目錄中釋放名為FILE RECOVERY.txt的勒索信息，以此向受害者勒索虛擬貨幣。

?

圖20. FILE RECOVERY勒索信

根據(jù)360對該勒索軟件的追蹤調(diào)查發(fā)現(xiàn)，Weaxor勒索軟件的贖金訴求范圍大約在8000~14000人民幣之間。而第三方數(shù)據(jù)恢復(fù)中間商會在此價位基礎(chǔ)上，進(jìn)一步加價收取手續(xù)費。

我們不建議交贖金進(jìn)行解密。漏洞不修復(fù)、安全隱患不排除，即便暫時恢復(fù)了數(shù)據(jù)，也極有可能再次被勒索軟件入侵，陷入“二次加密”“三次加密”乃至“N次加密”的窘境。

360提供體系化防護(hù)

針對Weaxor的攻擊，360能夠提供體系化防護(hù)功能。對于Web服務(wù)攻擊防護(hù)與黑客入侵防護(hù)，覆蓋了主流勒索軟件投毒的初始入口階段。

?

圖21. 黑客入侵防護(hù)與Web服務(wù)攻擊防護(hù)

而核晶防護(hù)與高級威脅防護(hù)，可對黑客組織的攻防對抗與滲透攻擊行為，進(jìn)行有效攔截。

?

圖22. 核晶防護(hù)與高級威脅防護(hù)

文檔防護(hù)針對核心的加密文件等異常行為，進(jìn)行針對性攔截。

?

圖23. 文檔保護(hù)與反勒索防護(hù)?

滲透痕跡檢測是為事前未安裝360安全衛(wèi)士的受害設(shè)備，提供事后溯源的分析線索。

?

圖24. 滲透痕跡檢測?

安全建議

數(shù)據(jù)庫安全加固

l強化MSSQL服務(wù)器安全配置：定期更新補丁，關(guān)閉不必要的服務(wù)和端口

l實施最小權(quán)限原則：限制數(shù)據(jù)庫賬戶權(quán)限，禁用xp_cmdshell等危險存儲過程

l部署數(shù)據(jù)庫審計：啟用詳細(xì)的數(shù)據(jù)庫操作日志，監(jiān)控異常查詢和命令執(zhí)行

l網(wǎng)絡(luò)隔離：將數(shù)據(jù)庫服務(wù)器部署在獨立的網(wǎng)絡(luò)段，限制外部訪問

高級威脅檢測

l部署靠譜的殺毒防護(hù)軟件：實現(xiàn)對終端行為的實時監(jiān)控和威脅捕獲

具備內(nèi)存掃描技術(shù)：檢測無文件攻擊和進(jìn)程注入行為