玄机靶场-实战Live勒索病毒溯源排查 WP

玄机靶场-实战Live勒索病毒溯源排查 WP这道题是一个比较典型的勒索病毒应急响应场景主要考察的是对系统日志的分析、文件排查以及攻击时间线的梳理。题目一共9个步骤难度中等下面是完整的解题过程和思路复盘。1. 确认病毒家族与基本信息上来先看现场情况。被加密的文件都带了.LIVE的后缀桌面上还留了一个flag.txt.LIVE和一封勒索信。根据这些特征结合平时的应急经验或者直接去各大安全厂商的勒索病毒特征库查一下很明显这就是LIVE勒索病毒家族。接着看勒索信的内容里面一般都会留下联系方式或者受害者的专属标识。扫一眼勒索信很快就能提取出攻击者预留的 ID170605242653。至于那个被加密的flag.txt.LIVE直接找 LIVE 家族的解密工具跑一下或者根据已知的密钥解开拿到里面的 flag 内容cf0971c1d17a03823c3db541ea3b4ec2。2. 梳理攻击时间线与C2排查接下来是重头戏排查系统日志还原攻击过程。题目问了两个关键时间点Windows Defender 删除 C2 的时间以及攻击者手动关闭 Defender 的时间。打开事件查看器直接定位到Microsoft-Windows-Windows Defender/Operational日志。找 Event ID 1116恶意软件检测或者 1117恶意软件清除的记录。翻一下日志发现 Defender 在2025.8.25 10:43拦截并删除了一个可疑文件。这个文件就是攻击者试图上传的 C2 木马。既然被杀了攻击者肯定要反制。继续用 FullEventLogView 看日志找 Event ID 5001实时保护被禁用。果然在两分钟后的2025.8.25 10:45攻击者成功把 Defender 给关了。看刚才被拦截的那条日志详情里面清楚地记录了被杀文件的路径C:\Users\Administrator\Downloads\Wq12D.exe。这就是攻击者最初传上来的 C2。拿到 C2 样本后放沙箱里跑一下或者直接看 Sysmon 的网络连接日志Event ID 3发现这个Wq12D.exe会去连一个外网 IP192.168.186.2。这就是攻击者的 C2 地址。3. 勒索执行与入口溯源C2 上线后攻击者就开始搞破坏了。全盘排查最近新增的可执行文件发现在C:\Users\Administrator\Documents\目录下多了一个叫systime.exe的东西。名字起得挺像系统文件但其实这就是用来加密文件的勒索程序本体。最后一步也是最关键的一步攻击者是怎么进来的查一下服务器对外开的端口和跑的业务发现这台机器上部署了若依RuoYi框架。看进程启动参数和目录结构业务运行文件是E:\ruoyi\ruoyi-admin.jar。若依历史上出过不少洞比如反序列化、未授权访问这台机器大概率就是因为没打补丁被攻击者直接打穿拿到了初始权限。4. 总结整条攻击链路很清晰攻击者打若依漏洞E:\ruoyi\ruoyi-admin.jar进内网 - 传 C2Wq12D.exe到 Downloads 目录 - 被 Defender 拦截10:43 - 攻击者手动关 Defender10:45 - C2 上线连外网192.168.186.2 - 传勒索本体systime.exe到 Documents 目录 - 执行加密留勒索信。Flag汇总病毒家族flag{LIVE}预留IDflag{170605242653}解密flagflag{cf0971c1d17a03823c3db541ea3b4ec2}删C2时间flag{2025.8.25_10:43}关Defender时间flag{2025.8.25_10:45}C2路径flag{C:\Users\Administrator\Downloads\Wq12D.exe}C2外联IPflag{192.168.186.2}加密器路径flag{C:\Users\Administrator\Documents\systime.exe}漏洞入口flag{E:\ruoyi\ruoyi-admin.jar}