solar应急响应-优快云博客

原创【应急响应工具教程】Logman 系统性能与日志采集工具

创建日志记录器：支持手动或自动创建性能计数器日志、事件跟踪日志（ETW）、系统配置跟踪等。启动/停止日志会话：可以在命令行中精确控制日志记录的启动和停止。导出日志数据：支持将收集到的日志数据导出为 CSV、TSV、BIN 等格式，方便后续分析。定制采样频率和时间：用户可灵活设定采样时间间隔、数据大小上限等采集参数。与计划任务结合：可配合 Windows 任务计划程序进行定时采集和自动化监控。当我们直接检查事件跟踪会话时，我们会发现特定的会话详细信息，包括名称、最大日志大小、日志位置和订阅的提供程序。

2025-06-05 15:02:48 919

原创【漏洞与预防】Microsoft Windows 文件资源管理器欺骗漏洞预防

在现代操作系统中，文件资源管理器（File Explorer）不仅是用户交互的核心组件，也是系统自动处理文件元数据的关键模块。2025年3月披露的漏洞揭示了该组件在处理文件时存在的安全缺陷。攻击者可利用此漏洞，通过构造包含恶意 SMB 路径的文件，并将其嵌入压缩档案（如 ZIP 或 RAR）中。当用户在资源管理器中解压该档案时，系统会自动解析文件，触发对攻击者控制的 SMB 服务器的 NTLM 身份验证请求，从而泄露用户的 NTLM 哈希值。该漏洞的关键在于 Windows 资源管理器对。

2025-05-27 17:54:10 1006

原创【AI反噬】四名网络安全工程师利用AI技术实施勒索攻击，最高被判7年半！

警方调查发现，共有三家企业被该团伙勒索，总计支付33万余元加密货币。他们在呼和浩特市租赁房屋设立“勒索工作室”，分工明确：两人负责编写和测试勒索代码，另外两人负责收集存在漏洞的企业服务器信息并植入“后门”。随后，通过这些“后门”上传定时执行的加密木马病毒，对目标企业实施勒索。四名原网络安全工程师因利用木马病毒攻击企业系统，勒索数字货币，被判处三年至七年六个月不等的有期徒刑，并处罚金。企业在加强技术防护的同时，也应关注员工的背景审查和行为规范，防止“内鬼”造成的安全风险。（上城区人民检察院供图）

2025-05-20 17:00:37 415

原创【应急响应工具教程】Windows日志快速分析工具——Chainsaw

Chainsaw 提供强大的“第一响应”功能，可快速识别 Windows 取证工件（如事件日志和 MFT 文件）中的威胁。Chainsaw 提供了一种通用且快速的方法，可以在事件日志中搜索关键字，并使用对 Sigma 检测规则的内置支持和自定义 Chainsaw 检测规则来识别威胁。🎯 使用 Sigma 检测规则和自定义 Chainsaw 检测规则搜寻威胁🔍 通过字符串匹配和正则表达式模式搜索和提取法医伪影📅 通过分析 Shimcache 工件并使用 Amcache 数据丰富它们来创建执行时间表。

2025-05-15 16:33:25 980

原创【病毒分析】888勒索家族再出手！幕后加密器深度剖析

根据对样本的深入逆向工程分析，得出该勒索病毒分析结果概览：该恶意软件是一个勒索软件，主要行为总结如下：加密方式:使用AES-256算法，密钥基于随机GUID、MAC地址和计算机名动态生成。排除系统目录（如。

2025-05-15 10:43:42 779

转载【防勒索变被勒索】防勒索专家Hitachi Vantara自家被攻破，Akira团伙再下一城！

Hitachi Vantara是一家提供数据存储、基础设施系统、云管理及勒索软件恢复服务的企业，客户涵盖政府机构及全球知名品牌，如BMW、Telefónica、T-Mobile 和中国电信等。

2025-04-30 17:52:38 145

原创【文章转载】黑客窃取7.6万人信息，机场商户Paradies拟赔近5000万元和解

正接近达成一项690万美元（约合人民币5000万元）的和解协议，以解决因2020年勒索软件攻击导致员工个人信息泄露而引发的集体诉讼。原告诉称，Paradies在员工数据保护方面存在疏忽，且在事件发生后处理不当，延迟通报进一步加剧了受害者损失。根据一名前员工提起的诉讼，2020年10月，黑客通过连续五天入侵Paradies Shops的管理系统，窃取了约。此类因数据泄露引发的集体诉讼正在全球范围内日益增多，并成为常规法律手段之一。Paradies事件再次警示企业，在勒索攻击与数据泄露事件中，

2025-04-23 15:35:16 225

原创【紧急警示】Weaxor最新变种“.wxx”来袭，批量入国内知名财务类管理系统发起勒索攻击！

畅捷通T+是一款面向中小企业的财务与业务一体化管理软件，集成了财务管理、库存管理、采购销售、报表生成等模块，支持多角色协同办公，广泛应用于零售、制造、服务等多个行业。用户可通过浏览器访问，实现多端操作与远程办公。

2025-04-22 14:19:37 1092

转载【文章转载】年营收超280亿元的传感器巨头Sensata Technologies遭勒索攻击，全球运营受阻

工业技术公司 Sensata Technologies（简称 Sensata）在上周末遭遇了一起勒索软件攻击，攻击导致公司网络部分系统被加密，并严重干扰了其正常运营。数据窃取已成为勒索软件组织的常见手段之一，旨在通过威胁公开泄露数据来施加更大压力，迫使受害者支付赎金，同时也会带来法律和合规层面的复杂问题。目前，Sensata 正在评估被窃取的数据范围，并将在调查结果明确后，按照相关法规要求通知受影响的个人及监管机构。公司已在外部网络安全专家的协助下展开初步调查，确认黑客确实从公司网络中窃取了数据。

2025-04-22 11:00:19 46

转载【文章转载】重大预警：浏览器成为下一个勒索战场，传统EDR将被绕过？

随着以 Chrome Store OAuth 攻击为代表的浏览器身份攻击不断增多，我们已经开始观察到‘浏览器勒索软件’的关键构件正在被攻击者逐步使用。据Chainalysis估算，企业每年在赎金上的支出接近10亿美元，而更大的代价则来自品牌声誉的受损与业务系统的中断。传统勒索软件攻击往往通过诱骗用户下载和执行恶意文件，对本地设备中的核心数据进行加密、复制或删除，并以解密为条件要求支付赎金。攻击核心不再是设备本身，而是用户的“数字身份”——尤其是浏览器中的登录状态与SaaS资源访问权限。

2025-04-22 10:58:49 26

转载【文章转载】马来西亚机场控股公司遭黑客攻击，赎金高达7200万元！首相现场拒绝勒索！

在讲话中，安瓦尔表示，这起针对 MAHB 的网络攻击发生在“一两天前”。尽管情况严重，他明确强调政府绝不会向网络黑客妥协，并宣布将进一步加大对国家网络安全体系的投入，提升马来西亚整体防御能力，应对未来网络威胁。尽管首相并未透露此次攻击的技术细节或当前系统是否已完全恢复，但他呼吁全社会对关键基础设施的数字安全保持高度警觉，并重申政府将持续加大投入，筑牢国家网络防线。，此次事件造成约10小时的服务中断。

2025-04-22 10:56:50 55

原创【漏洞与预防】畅捷通文件上传漏洞预防

本次案例参考去年3月期间TellYouThePass勒索病毒家族常用的攻击手法，关于该家族的病毒分析详情可参考。

2025-04-18 09:46:26 883

原创【病毒分析】定向财务的钓鱼木马分析

近日，我们接到某客户反馈，其于当日上午收到一封疑似来自税务稽查局的邮件，邮件内容要求统一安装所谓“税务稽查局安全终端”以开展自查工作，并特别注明在安装前需关闭360及其他安全软件。客户在执行相关操作后，发现并未出现邮件中所描述的客户端登录界面，遂怀疑该程序为钓鱼类木马。客户第一时间断开网络、删除可疑邮件，并对可疑文件进行样本提取，已交由我们进行深入分析与判定。可疑样本文件。

2025-04-16 15:52:08 433

原创【漏洞与预防】Atlassian Confluence存在远程代码执行漏洞

本案例参考thedfirreport.com在2025年2月24日据发布的DFIR 报告，LockBit 勒索软件利用CVE-2023-22527入侵 Confluence服务器最终导致勒索软件加密整个生产环境中的攻击手法。

2025-04-16 15:50:59 940

原创【应急响应工具教程】Windows 系统综合排查工具Hawkeye

工具为图形化页面，可直接右键选择管理员运行打开，进入页面后可以看到主要功能项有：进程信息、外连助手、Beacon扫描、主机信息、日志分析、进程扫描。

2025-04-08 14:34:45 355

原创【家族介绍】当AI沦为帮凶——FunkSec组织掀起勒索风暴

FunkSec 逐渐更新了他们使用的代码以及他们的数据泄露网站，这使得他们能够维持在线的战略存在。用户通过一个洋葱链接访问 FunkSec 数据泄露网站。FunkSec 在 2024 年 11 月下旬创建了该网站，包括四个部分：数据、拍卖、论坛、受害者&证明。

2025-03-25 14:34:18 354

原创【应急响应工具教程】镜像取证之挂载镜像——Arsenal Image Mounter

是一款高级磁盘映像挂载工具，主要用于数字取证和数据恢复。它由开发，支持将多种磁盘映像（如 E01、VHD、VHDX、ISO、RAW 等）直接挂载为 Windows 逻辑驱动器或物理磁盘。相比于普通的磁盘映像工具，AIM 提供更强大的功能，例如挂载后与 Windows 原生存储子系统交互，支持 BitLocker 解密、卷影副本恢复等。

2025-03-20 14:22:39 588

原创【病毒分析】伪造微软官网+勒索加密+支付威胁，CTF中勒索病毒解密题目真实还原！

该CTF挑战题目完整复现了黑客的攻击链路，攻击者通过伪造钓鱼页面引导受害者下载恶意软件。用户访问伪造的 Microsoft 365 官网后，在点击“Windows Installer (64-bit)”下载选项时，页面会自动跳转至伪造的 GitHub 项目链接，并下载加密器的恶意程序。伪造Microsoft 365官网。

2025-03-19 17:46:48 5492

原创【应急响应工具教程】Windows 系统操作历史监控与审计工具-LastActivityView

右键以管理员权限打开软件，可以看到系统历史使用程序，分类框从左到右依次为：活动时间、描述、文件名称、完整路径、更多信息、文件扩展名、以及数据来源。

2025-03-13 17:37:03 1286

原创【病毒分析】潜伏在AI工具中的幽灵：银狐家族社工攻击的深度剖析

本次分析的恶意样本系APT组织"银狐"利用DeepSeek大模型热度精心策划的社工攻击典型案例。攻击者通过伪造"大模型自动安装助手"软件，借助NSIS打包、PowerShell脚本注入、内存加载等技术，构建了一条隐蔽的攻击链路。其核心策略包括：1.热点捆绑：以AI技术工具为伪装，精准诱骗技术用户下载；2.持久控制：结合计划任务欺骗和进程共生机制，确保恶意程序长期存活。该案例体现了APT攻击者对技术趋势的敏锐捕捉能力，以及对社会工程学与底层系统漏洞的深度融合。

2025-03-11 14:56:41 986

原创【应急响应工具教程】一款自动化分析网络安全应急响应工具--FindAll

FindAll是一款安全团队开发的轻量化蓝队工具，专为应急响应场景设计，主打信息收集与威胁情报联动，尤其适合团队快速排查多台主机的安全风险。同时FindAll采用客户端-服务器（CS）架构，特别适用于那些无法直接登录远程主机进行安全检查的场景。FindAll相比于其他工具，最大的特点就是它的综合的信息收集和界面设计简洁明了，用户无需深入了解复杂的命令行操作，大大降低了使用门槛。这使得即使是网络安全领域的新手也能够轻松上手，有效地进行数据分析和安全事件排查。以下是它信息采集的类别1.系统基本信息。

2025-03-04 09:26:23 779

原创【应急响应工具教程】一款精准搜索文件夹内容的工具--FileSeek

FileSeek 是一款易于使用、精准搜索的文件搜索应用程序，尤其适合需要从大量文档或代码库中定位特定信息的用户。相比于搜索速度极快、基于文件名索引的everything，fileseek的核心优势是支持对文件内容的精准检索，无论是纯文本、日志文件还是代码文件，均可快速定位目标字符串。提供预览功能，可直接高亮显示匹配内容，无需打开文件对时间范围、文件大小精确截取同步配置。

2025-03-04 09:25:41 849

原创【紧急警示】GlobeImposter最新变种kat6.l6st6r利用金万维异速联远程控制漏洞发动大规模勒索攻击

金万维的异速联是一款企业级的远程访问和远程控制软件，主要用于提供跨网络的远程操作和管理功能。它通过高速稳定的远程访问技术，帮助企业实现远程办公、设备管理、技术支持等功能。

2025-02-26 09:15:19 1286

原创【应急响应工具教程】流量嗅探工具-Tcpdump

Tcpdump 是一款命令行数据包嗅探工具，能够直接从文件或网络接口捕获并解析数据帧。它适用于任何类 Unix 操作系统。Tcpdump是一款功能强大的命令行数据包嗅探工具，支持从网络接口实时捕获或从文件解析数据包。作为Unix/Linux系统的标准网络诊断工具，它无需图形界面即可通过终端或SSH等远程连接进行操作，尤其适合服务器环境使用。该工具基于pcap和libpcap库实现底层数据捕获，通过将网卡设置为混杂模式，能够监听整个局域网内所有设备的通信流量，而不仅限于当前主机的目标数据。

2025-02-21 09:38:38 854

原创【漏洞与预防】远程代码执行漏洞预防

本次案例参考去年6月期间TellYouThePass勒索病毒家族常用的攻击手法，具体详情可参考。

2025-02-18 16:10:16 737

原创【病毒分析】深入剖析MedusaLocker勒索家族：从密钥生成到文件加密的全链路解析

MedusaLocker 家族首次于 2019 年 9 月出现，MedusaLocker 家族通常通过有漏洞的远程桌面协议（RDP）配置获取受害者设备访问权限，攻击者还经常使用电子邮件钓鱼和垃圾邮件活动——直接将勒索软件附加到电子邮件中——作为初始入侵渠道。MedusaLocker会对受害者的数据进行加密，并在每个包含加密文件的文件夹中留下勒索信。勒索信要求受害者向特定的比特币钱包地址支付赎金。根据观察，MedusaLocker 似乎采用勒索软件即服务（RaaS）模型运营。

2025-02-13 17:06:48 710

原创【应急响应工具教程】取证工具-Volatility安装与使用

是一款非常流行的开源内存取证分析框架，主要用于从计算机的内存转储（memory dump）中提取关键信息，广泛应用于数字取证、恶意软件分析和系统调试等领域。Volatility 支持多种操作系统的内存映像，包括 Windows、Linux、MacOS 等，并能够提取与操作系统相关的详细信息，如进程、网络连接、文件、注册表、内核模块等。

2025-02-08 09:47:03 1825

原创【病毒分析】“美杜莎”勒索家族：从入侵到结束的全流程深度解析

Medusa家族是一种主要针对基于Windows环境的勒索软件即服务（RaaS），自2021年6月起活跃。该勒索软件在2023年初因其活动升级而广为人知，特别是与其专用泄露网站Medusa Blog（DLS）的推出密切相关。Medusa的大多数攻击集中在美国，但也在英国、加拿大、澳大利亚等国家造成了重大影响，涉及众多行业。其高价值目标主要包括医疗保健、制造业、教育和专业服务等领域。Medusa暗网地址搭建于Tor网络，结构可分为三个主要页面：数据泄露页、泄露详情页和谈判页。

2025-01-23 14:55:05 1025

原创【漏洞与预防】MSSQL数据库弱口令漏洞预防

工具名称md5sha1Ncrack。

2025-01-21 12:57:26 973

原创【成功案例】某房地产公司的mallox最新变种勒索病毒rmallox解密恢复项目

在随后的工作中，Solar团队深入进行了系统的解密和恢复工作，清除了黑客留下的后门，修复了受损的服务文件，并彻底还原了整个攻击链条。特别是考虑到，黑客B所属的组织是一个知名的境外勒索软件团伙，而黑客A最初利用的是国内某知名ERP系统的0day漏洞，这进一步加深了两者联系的疑问。Solar团队安排工程师去到客户现场，线下协助客户进行勒索病毒解密恢复，最终成功解密和恢复了被加密的数据文件，同时还对客户的网络安全情况做了全面的评估，并提供了相应的解决方法和建设思路，获得了客户的高度好评。

2025-01-21 12:41:29 704

原创【病毒分析】rmallox木马分析

近期，Solar团队收到某信息技术公司的援助请求，该公司的计算机服务器受到了mallox勒索家族的侵害，所有的文件被加密并且添加了.rmallox后缀，该勒索软件的初始入侵方式是利用知名财务系统的nday进行的。应客户的要求，本文暂不提供对入侵事件溯源的分析报告，仅提供该勒索病毒加密器的逆向分析报告。

2025-01-21 12:09:13 772

原创【病毒分析】R3强杀360：银狐远控病毒再进化

银狐病毒自2022年起活跃，主要针对中国用户和企事业单位，尤其是财务、管理和专业领域的从业人员。该病毒通过多种攻击手段传播，包括伪装为税务、财务相关文件的钓鱼邮件、社交平台的恶意链接，以及利用SEO（搜索引擎优化）确保其钓鱼网站在中国搜索引擎中的排名靠前。此外，银狐还结合恶意广告投放和多次电子邮件钓鱼活动，分发远程管理木马（RATs），以实现对受害者设备的远程控制和数据窃取。以下为近期捕获到的一起银狐病毒样本，我们对其进行了深入分析。

2025-01-17 14:04:28 1294

原创【案例介绍】赎金提高，防御失效：某上市企业两年内两度陷入同一勒索团伙之手

Exela Technologies**（纳斯达克代码：XELA）是一家全球领先的上市**业务流程自动化（BPA）公司，致力于为各行业提供数字化转型解决方案，以提升质量、生产力和终端用户体验。公司总部位于美国德克萨斯州欧文市，成立于2017年，由 SourceHOV LLC、Novitex Holdings, Inc. 和 Quinpario Acquisition Corp. 2 合并而成，并在纳斯达克上市。

2025-01-14 15:38:57 855

原创【官方WP】第一届solar杯·应急响应挑战赛官方题解

就在几天前，第一届圆满落下帷幕。这场比赛汇聚了来自全国的网络安全精英，选手们在激烈的技术较量中展现了非凡的能力和智慧。为延续比赛的技术交流与分享精神，我们很高兴向大家呈现本次比赛的官方WP（Writeup）。本篇官方WP将深入解析比赛中的关键赛题，从流量分析到勒索病毒破解，逐步还原真实案例中的技术细节与解决思路。

2025-01-09 14:01:29 1718

原创【病毒分析】新崛起的weaxor勒索家族：疑似mallox家族衍生版，深度解析两者关联！

Weaxor家族在2024年11月首次现身，该勒索病毒会将“.rox”扩展名附加到受感染文件的名称后，并留下名为“RECOVERY INFO.txt”的勒索信。信中包含了Weaxor家族的暗网地址，受害者可以通过该地址进入一个一对一的聊天界面，其他人无法访问。值得注意的是，暗网地址的首页为空白，这一设计显得格外耐人寻味。一对一聊天界面首页。

2024-12-29 23:53:38 1955

原创【病毒分析】全网首发！袭扰国内top1家族Mallox家族破解思路及技术分享

关于Mallox家族信息可参考本篇文章【病毒分析】Mallox勒索家族新版本：加密算法全面解析，详情内容部分可移步solar官网处介绍https://www.solarsecurity.cn/family?id=3。

2024-12-29 23:50:35 789

原创【攻击手法分析】勒索病毒如何轻松绕过安全设备防线：第一篇-驱动漏洞一击致命

关于RansomHub家族信息详情可参考本篇文章033.【病毒分析】Ransomhub加密器样本-EXSI本篇详细介绍了一个RansomHub家族使用工具绕过杀软防护并加载恶意驱动的全流程。程序通过BYOVD（Bring Your Own Vulnerable Driver）技术利用漏洞驱动，强制终止安全软件进程。解密过程首先通过提供的密钥解密文件，并通过RC4算法对数据进行解密，最终生成恶意shellcode。恶意驱动利用系统漏洞加载后，程序通过构造特定的结构体，调用驱动程序中的。

2024-12-15 23:21:07 914

原创【病毒分析】Ransomhub加密器样本-EXSI

关于RansomHub新发布的勒索病毒即服务（RaaS）项目的公告，发布于一个俄罗斯来源的论坛，该论坛是网络犯罪分子用来宣传恶意服务的平台，名为RAMP4U（或RAMP）。此外，Koley还指出，管理面板使用了.onion域名，允许联盟成员组织和管理目标、聊天房间，查看访问日志，提供离线自动响应，并创建私密博客页面。此外，根据该公告，勒索病毒的载荷是用Golang语言编写的，使用基于x25519的非对称算法和AES256、ChaCha20、xChaCha20等加密算法，以其加密速度为特色。

2024-12-15 23:11:59 1207

原创【成功案例】利用多款国产内网渗透工具勒索数十台虚拟机的babyk解密恢复项目

2024年4月11日，某影视公司的服务器遭受了勒索软件攻击，随后向我司寻求帮助进行恢复。经过我司溯源排查，勒索组织通过一处用友NC资产进行入侵，攻击者利用国产工具横移了数小时后实施勒索。其中一台超融合（vcenter）成了攻击者重要跳板，但也因为这台重要跳板的“端点挂全部挂”的特性，勒索攻击得到了有效地“自动”遏制，最后排查得出30多台服务器被勒索，重要系统被锁定无法使用,溯源过程中还发现了多个挖矿木马，目前尚不清楚该挖矿木马是否与此次勒索病毒组织有关联，但这也揭示了客户网络安全防护的薄弱之处。

2024-12-09 15:46:33 1811

原创【成功案例】RDP暴露引发的蝴蝶效应：LockBit组织利用MSF工具及永恒之蓝漏洞进行勒索入侵

solar团队数年深耕勒索解密与数据恢复领域，在勒索解密和数据恢复领域建立了良好的声誉，以高效、安全、可靠的解决方案赢得了客户的信任。无论是个人用户还是大型企业，都能提供量身定制的服务，确保每一个被勒索软件侵害的数据都能够恢复到最佳状态，同时在解密数据恢复后，提供全面的后门排查及安全加固服务，杜绝二次感染的风险。同时，solar团队坚持自主研发及创新，在攻防演练平台、网络安全竞赛平台、网络安全学习平台方面加大研发投入，目前已获得十几项专利及知识产权。

2024-12-09 15:21:40 1027

空空如也

空空如也