玄机靶场-实战Live勒索病毒溯源排查 WP

玄机靶场-实战Live勒索病毒溯源排查 WP

这道题是一个比较典型的勒索病毒应急响应场景，主要考察的是对系统日志的分析、文件排查以及攻击时间线的梳理。题目一共9个步骤，难度中等，下面是完整的解题过程和思路复盘。

1. 确认病毒家族与基本信息

上来先看现场情况。被加密的文件都带了.LIVE的后缀，桌面上还留了一个flag.txt.LIVE和一封勒索信。根据这些特征，结合平时的应急经验（或者直接去各大安全厂商的勒索病毒特征库查一下），很明显这就是LIVE勒索病毒家族。

接着看勒索信的内容，里面一般都会留下联系方式或者受害者的专属标识。扫一眼勒索信，很快就能提取出攻击者预留的 ID：170605242653。

至于那个被加密的flag.txt.LIVE，直接找 LIVE 家族的解密工具跑一下，或者根据已知的密钥解开，拿到里面的 flag 内容：cf0971c1d17a03823c3db541ea3b4ec2。

2. 梳理攻击时间线与C2排查

接下来是重头戏，排查系统日志还原攻击过程。

题目问了两个关键时间点：Windows Defender 删除 C2 的时间，以及攻击者手动关闭 Defender 的时间。

打开事件查看器，直接定位到Microsoft-Windows-Windows Defender/Operational日志。
找 Event ID 1116（恶意软件检测）或者 1117（恶意软件清除）的记录。翻一下日志，发现 Defender 在2025.8.25 10:43拦截并删除了一个可疑文件。这个文件就是攻击者试图上传的 C2 木马。

既然被杀了，攻击者肯定要反制。继续用 FullEventLogView 看日志，找 Event ID 5001（实时保护被禁用）。果然，在两分钟后的2025.8.25 10:45，攻击者成功把 Defender 给关了。

看刚才被拦截的那条日志详情，里面清楚地记录了被杀文件的路径：C:\Users\Administrator\Downloads\Wq12D.exe。这就是攻击者最初传上来的 C2。

拿到 C2 样本后，放沙箱里跑一下，或者直接看 Sysmon 的网络连接日志（Event ID 3），发现这个Wq12D.exe会去连一个外网 IP：192.168.186.2。这就是攻击者的 C2 地址。

3. 勒索执行与入口溯源

C2 上线后，攻击者就开始搞破坏了。全盘排查最近新增的可执行文件，发现在C:\Users\Administrator\Documents\目录下多了一个叫systime.exe的东西。名字起得挺像系统文件，但其实这就是用来加密文件的勒索程序本体。

最后一步，也是最关键的一步：攻击者是怎么进来的？
查一下服务器对外开的端口和跑的业务，发现这台机器上部署了若依（RuoYi）框架。看进程启动参数和目录结构，业务运行文件是E:\ruoyi\ruoyi-admin.jar。若依历史上出过不少洞（比如反序列化、未授权访问），这台机器大概率就是因为没打补丁，被攻击者直接打穿拿到了初始权限。

4. 总结

整条攻击链路很清晰：
攻击者打若依漏洞（E:\ruoyi\ruoyi-admin.jar）进内网 -> 传 C2（Wq12D.exe）到 Downloads 目录 -> 被 Defender 拦截（10:43） -> 攻击者手动关 Defender（10:45） -> C2 上线连外网（192.168.186.2） -> 传勒索本体（systime.exe）到 Documents 目录 -> 执行加密，留勒索信。

Flag汇总：

1. 病毒家族：flag{LIVE}
2. 预留ID：flag{170605242653}
3. 解密flag：flag{cf0971c1d17a03823c3db541ea3b4ec2}
4. 删C2时间：flag{2025.8.25_10:43}
5. 关Defender时间：flag{2025.8.25_10:45}
6. C2路径：flag{C:\Users\Administrator\Downloads\Wq12D.exe}
7. C2外联IP：flag{192.168.186.2}
8. 加密器路径：flag{C:\Users\Administrator\Documents\systime.exe}
9. 漏洞入口：flag{E:\ruoyi\ruoyi-admin.jar}