当前位置：首页 > article >正文

玄机靶场-实战Live勒索病毒溯源排查 WP

article 2026/4/17 18:40:51

玄机靶场-实战Live勒索病毒溯源排查 WP这道题是一个比较典型的勒索病毒应急响应场景主要考察的是对系统日志的分析、文件排查以及攻击时间线的梳理。题目一共9个步骤难度中等下面是完整的解题过程和思路复盘。1. 确认病毒家族与基本信息上来先看现场情况。被加密的文件都带了.LIVE的后缀桌面上还留了一个flag.txt.LIVE和一封勒索信。根据这些特征结合平时的应急经验或者直接去各大安全厂商的勒索病毒特征库查一下很明显这就是LIVE勒索病毒家族。接着看勒索信的内容里面一般都会留下联系方式或者受害者的专属标识。扫一眼勒索信很快就能提取出攻击者预留的 ID170605242653。至于那个被加密的flag.txt.LIVE直接找 LIVE 家族的解密工具跑一下或者根据已知的密钥解开拿到里面的 flag 内容cf0971c1d17a03823c3db541ea3b4ec2。2. 梳理攻击时间线与C2排查接下来是重头戏排查系统日志还原攻击过程。题目问了两个关键时间点Windows Defender 删除 C2 的时间以及攻击者手动关闭 Defender 的时间。打开事件查看器直接定位到Microsoft-Windows-Windows Defender/Operational日志。找 Event ID 1116恶意软件检测或者 1117恶意软件清除的记录。翻一下日志发现 Defender 在2025.8.25 10:43拦截并删除了一个可疑文件。这个文件就是攻击者试图上传的 C2 木马。既然被杀了攻击者肯定要反制。继续用 FullEventLogView 看日志找 Event ID 5001实时保护被禁用。果然在两分钟后的2025.8.25 10:45攻击者成功把 Defender 给关了。看刚才被拦截的那条日志详情里面清楚地记录了被杀文件的路径C:\Users\Administrator\Downloads\Wq12D.exe。这就是攻击者最初传上来的 C2。拿到 C2 样本后放沙箱里跑一下或者直接看 Sysmon 的网络连接日志Event ID 3发现这个Wq12D.exe会去连一个外网 IP192.168.186.2。这就是攻击者的 C2 地址。3. 勒索执行与入口溯源C2 上线后攻击者就开始搞破坏了。全盘排查最近新增的可执行文件发现在C:\Users\Administrator\Documents\目录下多了一个叫systime.exe的东西。名字起得挺像系统文件但其实这就是用来加密文件的勒索程序本体。最后一步也是最关键的一步攻击者是怎么进来的查一下服务器对外开的端口和跑的业务发现这台机器上部署了若依RuoYi框架。看进程启动参数和目录结构业务运行文件是E:\ruoyi\ruoyi-admin.jar。若依历史上出过不少洞比如反序列化、未授权访问这台机器大概率就是因为没打补丁被攻击者直接打穿拿到了初始权限。4. 总结整条攻击链路很清晰攻击者打若依漏洞E:\ruoyi\ruoyi-admin.jar进内网 - 传 C2Wq12D.exe到 Downloads 目录 - 被 Defender 拦截10:43 - 攻击者手动关 Defender10:45 - C2 上线连外网192.168.186.2 - 传勒索本体systime.exe到 Documents 目录 - 执行加密留勒索信。Flag汇总病毒家族flag{LIVE}预留IDflag{170605242653}解密flagflag{cf0971c1d17a03823c3db541ea3b4ec2}删C2时间flag{2025.8.25_10:43}关Defender时间flag{2025.8.25_10:45}C2路径flag{C:\Users\Administrator\Downloads\Wq12D.exe}C2外联IPflag{192.168.186.2}加密器路径flag{C:\Users\Administrator\Documents\systime.exe}漏洞入口flag{E:\ruoyi\ruoyi-admin.jar}

玄机靶场-实战Live勒索病毒溯源排查 WP

相关文章：

玄机靶场-实战Live勒索病毒溯源排查 WP

Calibre路径本地化技术解析：告别拼音目录，拥抱原生中文路径

GStreamer Appsink实战：从RTSP流中高效提取与处理帧数据（预览、截图与格式转换）

如何轻松将 VCF 文件导入Android （已解决）

科研人的效率神器：手把手教你定制Zotero笔记模板（含IF/分区显示与AI协作提示）

5步魔法：将Python代码瞬间转化为Android应用

Ubuntu20.04下PCL库安装避坑指南：从依赖安装到环境配置全流程

2026年React Native热更新主流方案对比解析

STM32 HAL库实战：DMA串口通信避坑指南（附CubeMX配置）

在线帮助系统：知识库检索与上下文感知帮助

C#实战：基于TCP与MLLP协议构建HL7医疗数据接收与解析服务

告别复制粘贴！用这个开源Agent工具，5分钟搞定一周的会议纪要（支持Word导出和批量打印）

微软旧版Exchange与Skype for Business延长安全更新服务

LangGraph实战：手把手教你用GPT-4o-mini和Google Serper API搭一个能查新闻、能画图的智能助手

三星手机互传照片的 8 种最佳方法

英飞凌TC3xx Bootloader内存规划实战：从芯片手册到PFLASH/DFLASH分区（以TC377为例）

Rufus制作u盘启动盘：解决系统安装与维护中的usb启动盘制作难题

除了Word2Vec，试试HowNet的义原来做中文词相似度计算？一个实战对比

群晖NAS影视库美化：借助tinyMediaManager在Windows端实现精准元数据刮削

AI 域名投资价值高吗

SonarQube中文插件离线安装全攻略：从下载到配置详解

为什么你的Playnite便携版越来越慢？3步焕新指南

别等2027！SITS2026刚公布的AI设计模式生成三阶演进路径，第2阶段已进入GA，仅剩最后47天适配窗口期

OV5640摄像头模组研究

告别杂音：实测Facebook Denoiser（PyTorch版）在视频会议、录音笔场景下的降噪效果

3步掌握Excalidraw：轻松创建手绘风格图表

告别报表拼接！用Oracle的LISTAGG和PIVOT，5分钟搞定多行数据合并展示

2026届最火的六大AI科研方案实际效果

用PyTorch复现SRCNN：三行代码理解深度学习超分的起点（附完整训练脚本）

Ultrascale SelectIO 仿真实战：ISERDESE3与OSERDESE3的时钟域与数据流协同设计