Weaxor勒索軟件瞄準政企服務器

2025-07-04 11:35:36
我要分享


微信掃碼分享

事件背景

近期，一款后綴為.wxx的勒索軟件家族攻擊勢頭上漲明顯。近一個月內，360反勒索服務已經處理了超100起與此勒索軟件相關的反饋。該勒索軟件就是大名鼎鼎的Weaxor勒索軟件家族。

Weaxor是曾經輝煌一時的Mallox勒索軟件家族的“品牌重塑”版本。根據360的監控情報，Weaxor家族在國內的攻擊活動最早出現于2024年10月，進入2025年，該勒索家族持續霸榜國內勒索攻擊Top1的位置。

近年來，勒索軟件攻擊愈發復雜和精密：攻擊者不再局限于簡單的惡意郵件投遞，而是更傾向于采用多階段、多載荷的復合攻擊鏈條來規避安全檢測，近期我們接到的多起遭到Weaxor勒索攻擊的反饋也印證了這一變化。經過對多起反饋案例的深入比對分析，我們發現Weaxor的攻擊展現出了現代勒索團伙的高級技術手段，即以受損的MSSQL服務器作為初始入口點，通過PowerShell腳本分階段投遞惡意載荷，再利用進程注入和AMSI繞過技術規避防護，最終通過Cobalt Strike建立持久化控制并部署勒索軟件。

下文是360技術團隊針對一起典型的Weaxor勒索攻擊案例展開的技術分析，剖析了該勒索軟件在攻擊過程中所利用的技術手段。

包裝載荷·隱蔽攻擊

這起攻擊案例的獨特之處在于其精心設計的多層載荷架構——攻擊者將惡意代碼分解為兩個獨立的載荷包，分別負責防御規避和ShellCode解碼，通過這種分工協作的方式，大大提高了攻擊的成功率和隱蔽性。

圖1. 典型Weaxor勒索攻擊流程示意圖?

該攻擊流程是由一系列技術步驟構成的“攻擊鏈”，下圖展示了該“攻擊鏈”的技術細節。

圖2. Weaxor勒索攻擊鏈技術細節

需要特別強調的是：我們所觀察到的國內本輪攻擊中，利用各種主流OA系統實現入侵已經成為常規態勢，這一特點值得所有政企單位重視。在當前案例中，勒索軟件也是利用企業使用的某款主流OA系統，成功入侵其內部網絡。我們記錄的攻擊進程鏈信息如下：

圖3. 針對OA系統的入侵進程鏈

入侵成功后，攻擊者立刻執行PowerShell命令，下載名為“beta”的文件，該文件實際上是一個經過代碼混淆的PowerShell腳本。分析人員對該腳本的混淆代碼進行了多輪去混淆后，發現其為第一階段的一個ShellCode內存載荷。

圖4. 經多輪去混淆后的PowerShell解密代碼

通過對代碼中的核心功能再次進行異或解密，得到的ShellCode確認是一段Cobalt Strike Beacon。這段Beacon會通過HTTP協議，與黑客所搭建的遠端Cobalt Strike?C2服務器通信，實現數據竊取與Weaxor勒索軟件下發。

圖5. 連接遠端Cobalt Strike?C2 服務器?

第一階段：前置部署

對這一段載荷的ShellCode代碼進行功能解析，發現其會進行如下四個步驟的工作：

一、函數動態解析
不依賴靜態導入表，通過遍歷PEB和哈希計算，在內存中動態地查找并獲取所需的Windows API函數地址（如LoadLibraryA, VirtualAlloc以及wininet.dll中的網絡函數）。

二、建立遠程連接
使用wininet.dll庫的功能，連接到硬編碼的C2服務器 107.148.52[.]26。

三、獲取在線載荷
偽裝成正常的瀏覽器流量，向服務器請求一個看似無害的JS文件，但實際上服務器會返回第二階段的惡意代碼。

四、執行內存載荷
在內存中分配一塊可執行空間，將下載的第二階段shellcode代碼放入其中，然后跳轉到該地址執行，從而完成整個攻擊鏈的部署。

第二階段：載荷攻擊

完成一階段載荷部署后，病毒會下發二階段載荷：

圖6. 內存中的第二階段ShellCode攻擊載荷?

完成載荷的加載后，病毒會繼續通過動態解密方式執行其功能代碼，最終釋放一個PE文件——這就是要被投放到受害者設備中的Weaxor勒索軟件。

圖7. 投放Weaxor勒索軟件

Weaxor勒索軟件樣本分析

前期準備

我們進一步對被釋放出的Weaxor勒索軟件樣本進行分析，發現其啟動后，首先會進行一些準備工作，如更改電源方案為高性能模式，以加快加密速度。

圖8. 勒索軟件將系統電源方案改為高性能模式?

完成后，對當前運行環境進行提權：

圖9. 提權操作

此外，勒索軟件還會根據系統語言對可能的俄語區設備進行排除，被排除掉的語言為：俄語、白俄羅斯語、烏克蘭語、土庫曼語、哈薩克語。

圖10. 根據系統語言排除俄語區設備

Weaxor還會刪除特定注冊表和刪除卷影副本防止數據恢復。

圖11. 勒索軟件防止數據恢復

在進行核心的加密功能之前，Weaxor還會通過POST的方法將一些用戶信息（系統信息、用戶名信息、網卡信息、磁盤信息等）發送到自己的C2服務器上（193.143.1[.]153），以便進行數據統計。

圖12. 發送用戶信息到C2服務器?

文件加密

排除

完成這些準備工作后，勒索軟件便開始執行核心的文件加密流程。整體的加密流程會排除掉一些目錄，其列表如下：

msocache、$windows.~ws、system volume information、intel、appdata、perflogs、programdata、google、application data、tor browser、boot、$windows.~bt、mozilla、boot、windows.old、Windows Microsoft.NET、WindowsPowerShell、Windows NT、Windows、Common Files、Microsoft Security Client、Internet Explorer、Reference、Assemblies、Windows Defender、Microsoft ASP.NET、Core Runtime、Package、Store、Microsoft Help Viewer、Microsoft MPI、Windows Kits、Microsoft.NET、Windows Mail、Microsoft Security Client、Package Store、Microsoft Analysis Services、Windows Portable Devices、Windows Photo Viewer、Windows Sidebar

此外，勒索軟件還會排除特定擴展名的文件，除了一些常見文件擴展名外，還重點排除了其家族的其他加密擴展名，以免重復加密影響效率。排除的擴展名如下：

.386、.adv、.ani、.bat、.bin、.cab、.cmd、.com、.cp、.cur、.deskthemepack、.diagcfg、.diagpkg、.diangcab、.dl、.drv、.exe、.hlp、.hta、.ic、.icns、.ico、.ics、.idx、.key、.ldf、.lnk、.lock、.mod、.mpa、.msc、.msi、.msp、.msstyles、.msu、.nls、.nomedia、.ocx、.prf、.rom、.rox、.rtp、.scr、.shs、.sp、.sys、.theme、.themepack、.weax、.wex、.wpx、.wxr

加密

Weaxor在加密過程中采用了較為主流的雙層加密架構，即使用ChaCha20流密碼算法對文件數據進行加密，并通過AES算法對ChaCha20的密鑰進行加密保護。

具體密鑰生成機制如下：

lChaCha20的加密密鑰由Windows系統的CryptGenRandom安全隨機數生成器產生；

lAES的加密密鑰來源于Curve25519橢圓曲線密鑰交換算法生成的共享密鑰，經SHA256哈希處理后得到；

lAES的初始化向量（Ⅳ）同樣通過CryptGenRandom函數生成，確保每次加密的隨機性和安全性。

加密文件采用ChaCha20算法，初始化 ChaCha20密鑰的相關代碼如下：