Weaxor勒索软件瞄准政企服务器

2025-07-04 11:35:36
我要分享


微信扫码分享

事件背景

近期，一款后缀为.wxx的勒索软件家族攻击势头上涨明显。近一个月内，360反勒索服务已经处理了超100起与此勒索软件相关的反馈。该勒索软件就是大名鼎鼎的Weaxor勒索软件家族。

Weaxor是曾经辉煌一时的Mallox勒索软件家族的“品牌重塑”版本。根据360的监控情报，Weaxor家族在国内的攻击活动最早出现于2024年10月，进入2025年，该勒索家族持续霸榜国内勒索攻击Top1的位置。

近年来，勒索软件攻击愈发复杂和精密：攻击者不再局限于简单的恶意邮件投递，而是更倾向于采用多阶段、多载荷的复合攻击链条来规避安全检测，近期我们接到的多起遭到Weaxor勒索攻击的反馈也印证了这一变化。经过对多起反馈案例的深入比对分析，我们发现Weaxor的攻击展现出了现代勒索团伙的高级技术手段，即以受损的MSSQL服务器作为初始入口点，通过PowerShell脚本分阶段投递恶意载荷，再利用进程注入和AMSI绕过技术规避防护，最终通过Cobalt Strike建立持久化控制并部署勒索软件。

下文是360技术团队针对一起典型的Weaxor勒索攻击案例展开的技术分析，剖析了该勒索软件在攻击过程中所利用的技术手段。

包装载荷·隐蔽攻击

这起攻击案例的独特之处在于其精心设计的多层载荷架构——攻击者将恶意代码分解为两个独立的载荷包，分别负责防御规避和ShellCode解码，通过这种分工协作的方式，大大提高了攻击的成功率和隐蔽性。

图1. 典型Weaxor勒索攻击流程示意图

该攻击流程是由一系列技术步骤构成的“攻击链”，下图展示了该“攻击链”的技术细节。

图2. Weaxor勒索攻击链技术细节

需要特别强调的是：我们所观察到的国内本轮攻击中，利用各种主流OA系统实现入侵已经成为常规态势，这一特点值得所有政企单位重视。在当前案例中，勒索软件也是利用企业使用的某款主流OA系统，成功入侵其内部网络。我们记录的攻击进程链信息如下：

图3. 针对OA系统的入侵进程链

入侵成功后，攻击者立刻执行PowerShell命令，下载名为“beta”的文件，该文件实际上是一个经过代码混淆的PowerShell脚本。分析人员对该脚本的混淆代码进行了多轮去混淆后，发现其为第一阶段的一个ShellCode内存载荷。

图4. 经多轮去混淆后的PowerShell解密代码

通过对代码中的核心功能再次进行异或解密，得到的ShellCode确认是一段Cobalt Strike Beacon。这段Beacon会通过HTTP协议，与黑客所搭建的远端Cobalt Strike C2服务器通信，实现数据窃取与Weaxor勒索软件下发。

图5. 连接远端Cobalt Strike C2 服务器

第一阶段：前置部署

对这一段载荷的ShellCode代码进行功能解析，发现其会进行如下四个步骤的工作：

一、函数动态解析
不依赖静态导入表，通过遍历PEB和哈希计算，在内存中动态地查找并获取所需的Windows API函数地址（如LoadLibraryA, VirtualAlloc以及wininet.dll中的网络函数）。

二、建立远程连接
使用wininet.dll库的功能，连接到硬编码的C2服务器 107.148.52[.]26。

三、获取在线载荷
伪装成正常的浏览器流量，向服务器请求一个看似无害的JS文件，但实际上服务器会返回第二阶段的恶意代码。

四、执行内存载荷
在内存中分配一块可执行空间，将下载的第二阶段shellcode代码放入其中，然后跳转到该地址执行，从而完成整个攻击链的部署。

第二阶段：载荷攻击

完成一阶段载荷部署后，病毒会下发二阶段载荷：

图6. 内存中的第二阶段ShellCode攻击载荷

完成载荷的加载后，病毒会继续通过动态解密方式执行其功能代码，最终释放一个PE文件——这就是要被投放到受害者设备中的Weaxor勒索软件。

图7. 投放Weaxor勒索软件

Weaxor勒索软件样本分析

前期准备

我们进一步对被释放出的Weaxor勒索软件样本进行分析，发现其启动后，首先会进行一些准备工作，如更改电源方案为高性能模式，以加快加密速度。

图8. 勒索软件将系统电源方案改为高性能模式

完成后，对当前运行环境进行提权：

图9. 提权操作

此外，勒索软件还会根据系统语言对可能的俄语区设备进行排除，被排除掉的语言为：俄语、白俄罗斯语、乌克兰语、土库曼语、哈萨克语。

图10. 根据系统语言排除俄语区设备

Weaxor还会删除特定注册表和删除卷影副本防止数据恢复。

图11. 勒索软件防止数据恢复

在进行核心的加密功能之前，Weaxor还会通过POST的方法将一些用户信息（系统信息、用户名信息、网卡信息、磁盘信息等）发送到自己的C2服务器上（193.143.1[.]153），以便进行数据统计。

图12. 发送用户信息到C2服务器

文件加密

排除

完成这些准备工作后，勒索软件便开始执行核心的文件加密流程。整体的加密流程会排除掉一些目录，其列表如下：

msocache、$windows.~ws、system volume information、intel、appdata、perflogs、programdata、google、application data、tor browser、boot、$windows.~bt、mozilla、boot、windows.old、Windows Microsoft.NET、WindowsPowerShell、Windows NT、Windows、Common Files、Microsoft Security Client、Internet Explorer、Reference、Assemblies、Windows Defender、Microsoft ASP.NET、Core Runtime、Package、Store、Microsoft Help Viewer、Microsoft MPI、Windows Kits、Microsoft.NET、Windows Mail、Microsoft Security Client、Package Store、Microsoft Analysis Services、Windows Portable Devices、Windows Photo Viewer、Windows Sidebar

此外，勒索软件还会排除特定扩展名的文件，除了一些常见文件扩展名外，还重点排除了其家族的其他加密扩展名，以免重复加密影响效率。排除的扩展名如下：

.386、.adv、.ani、.bat、.bin、.cab、.cmd、.com、.cp、.cur、.deskthemepack、.diagcfg、.diagpkg、.diangcab、.dl、.drv、.exe、.hlp、.hta、.ic、.icns、.ico、.ics、.idx、.key、.ldf、.lnk、.lock、.mod、.mpa、.msc、.msi、.msp、.msstyles、.msu、.nls、.nomedia、.ocx、.prf、.rom、.rox、.rtp、.scr、.shs、.sp、.sys、.theme、.themepack、.weax、.wex、.wpx、.wxr

加密

Weaxor在加密过程中采用了较为主流的双层加密架构，即使用ChaCha20流密码算法对文件数据进行加密，并通过AES算法对ChaCha20的密钥进行加密保护。

具体密钥生成机制如下：

lChaCha20的加密密钥由Windows系统的CryptGenRandom安全随机数生成器产生；

lAES的加密密钥来源于Curve25519椭圆曲线密钥交换算法生成的共享密钥，经SHA256哈希处理后得到；

lAES的初始化向量（Ⅳ）同样通过CryptGenRandom函数生成，确保每次加密的随机性和安全性。

加密文件采用ChaCha20算法，初始化 ChaCha20密钥的相关代码如下：