MauriceGlenn2/The-Buyer---Incident-Response-Center

GitHub: MauriceGlenn2/The-Buyer-Threat-Hunt

一份以 Akira 勒索软件事件为背景的蓝队威胁狩猎实战报告，通过 KQL 查询逐步还原完整攻击链并提供 MITRE ATT&CK 映射分析。

Stars: 0 | Forks: 0

# 买方应急响应中心（“经纪人”威胁狩猎的延续）(进行中) # 威胁狩猎报告 — 买方 ## 狩猎元数据 | 字段 | 详细信息 | |---|---| | **场景** | 买方 — 应急响应中心 | | **涉及设备** | `as-pc1`, `as-pc2`, `as-srv` | | **威胁行为者** | Akira 勒索软件组织 | | **狩猎周期** | 2026-01-01 至 2026-02-01 | | **失陷主机** | `as-pc2`, `as-srv` | | **失陷用户** | `david.mitchell` | ## 执行摘要本次调查涵盖了由 **Akira** 勒索软件组织实施的完整勒索软件攻击链。攻击者通过恶意的 PDF 释放器获得初始访问权限，使用 AnyDesk 建立持久性，部署了自定义的 C2 beacon (`wsync.exe`)，针对 LSASS 执行了凭据窃取，通过 WMI 远程执行进行横向移动，使用自定义的暂存工具进行数据窃取，并最终在整个环境中部署了勒索软件 (`updater.exe`)。安全控制措施通过批处理脚本 (`kill.bat`) 被主动禁用，卷影副本被删除以阻止恢复。 ## 第 1 节 — 勒索信分析 ### Q1 — 威胁行为者 **Flag:** 从勒索信中识别出勒索软件组织。 **答案:** `Akira` **揭示了什么:** 勒索信 (`akira_readme.txt`) 确认威胁行为者是 Akira 勒索软件组织，这是一个双重勒索操作，既加密文件又窃取数据并威胁公开披露。 **MITRE ATT&CK:** T1486 — 数据加密以造成影响 ### Q2 — 谈判门户 **Flag:** 勒索信提供了一种联系方式。 **答案:** `akira12iz6a7qgd3ayp316yub7xx2uep76idk3u2ko11pj5z3z636bad.onion` **揭示了什么:** Akira 运营着一个基于 TOR 的谈判门户，受害者在此与该组织联系。`.onion` 地址托管在 Tor 网络上，以匿名化攻击者基础设施。 **MITRE ATT&CK:** T1090.003 — 代理：多跳代理 ### Q3 — 受害者 ID **Flag:** 每个受害者都会收到一个用于谈判的唯一标识符。 **答案:** `813R-QWJM-XKIJ` **揭示了什么:** Akira 为每个受害者分配一个嵌入在勒索信中的唯一谈判 ID。此 ID 用于在其 TOR 门户上识别受害者并跟踪勒索支付状态。 **MITRE ATT&CK:** T1486 — 数据加密以造成影响 ### Q4 — 加密扩展名 **Flag:** 加密文件附加了新的扩展名。 **答案:** `.akira` **揭示了什么:** 所有加密文件的原始扩展名后都附加了 `.akira`。这是 Akira 的标准文件标记，确认勒索软件执行已到达文件系统级别。 **MITRE ATT&CK:** T1486 — 数据加密以造成影响 ## 第 2 节 — 基础设施 ### Q5 — 载荷域名 **Flag:** 工具是从外部域名下载的。 ``` DeviceProcessEvents | where TimeGenerated between (datetime(2026-01-01T00:00:00) .. datetime(2026-03-01T00:00:00)) | where DeviceName == "as-pc2" | where ProcessCommandLine has_any ("curl", "Invoke-WebRequest", "certutil") ``` **答案:** `sync.cloud-endpoint.net` **揭示了什么:** 攻击者在 `sync.cloud-endpoint.net` 上托管了恶意载荷。包括 `scan.exe` 和 `wsync.exe` 在内的工具都是从该域名下载的。该域名旨在伪装成合法的云同步服务。 **MITRE ATT&CK:** T1105 — 入站工具传输 ### Q6 — 勒索软件暂存 **Flag:** 载荷建立了出站连接。 ``` DeviceNetworkEvents | where TimeGenerated between (datetime(2026-01-01T00:00:00) .. datetime(2026-02-01T00:00:00)) | where DeviceName == "as-pc1" | where InitiatingProcessFileName == "daniel_richardson_cv.pdf.exe" | project TimeGenerated, ActionType, InitiatingProcessFileName, RemoteUrl ``` **答案:** `cdn.cloud-endpoint.net` **揭示了什么:** 初始释放器 (`daniel_richardson_cv.pdf.exe`) 在执行后回连至 `cdn.cloud-endpoint.net`，建立 C2 通信并暂存勒索软件组件。 **MITRE ATT&CK:** T1071.001 — 应用层协议：Web 协议 ### Q7 — C2 IP 地址 **Flag:** C2 基础设施解析为多个 IP。 ``` DeviceNetworkEvents | where TimeGenerated between (datetime(2026-01-01T00:00:00) .. datetime(2026-02-01T00:00:00)) | where DeviceName == "as-pc1" | where InitiatingProcessFileName == "daniel_richardson_cv.pdf.exe" | project TimeGenerated, ActionType, InitiatingProcessFileName, RemoteUrl, RemoteIP ``` **答案:** `104.21.30.237, 172.67.174.46` **揭示了什么:** C2 域名解析为两个 Cloudflare IP 地址，表明攻击者使用 Cloudflare 作为中继/代理层来掩盖其真实基础设施。这是攻击者常用的技术，使得 C2 更难被拆除。 **MITRE ATT&CK:** T1090.002 — 代理：外部代理 ### Q8 — 远程工具中继 **Flag:** 远程工具通过中继服务器路由。 ``` DeviceNetworkEvents | where TimeGenerated between (datetime(2026-01-01T00:00:00) .. datetime(2026-02-01T00:00:00)) | where DeviceName has_any ("as-pc1", "as-pc2", "as-srv") | where RemoteUrl contains "anydesk" | project TimeGenerated, DeviceName, ActionType, InitiatingProcessFileName, RemoteUrl, RemoteIP ``` **答案:** `relay-0b975d23.net.anydesk.com` **揭示了什么:** AnyDesk 流量通过 AnyDesk 的中继基础设施进行路由。在 `as-srv` 上观察到了特定的中继节点 `relay-0b975d23.net.anydesk.com`，表明攻击者通过 AnyDesk 的中继网络保持了对服务器的远程访问。 **MITRE ATT&CK:** T1219 — 远程访问软件 ## 第 3 节 — 防御规避 ### Q9 — 规避脚本 **Flag:** 脚本被用于禁用安全控制。 ``` DeviceProcessEvents | where TimeGenerated between (datetime(2026-01-01T00:00:00) .. datetime(2026-02-01T00:00:00)) | where DeviceName has_any ("as-pc1", "as-pc2", "as-srv") | where FileName =~ "reg.exe" | project TimeGenerated, DeviceName, ProcessCommandLine, InitiatingProcessCommandLine, InitiatingProcessFileName, FileName ``` **答案:** `kill.bat` **揭示了什么:** 一个名为 `kill.bat` 的批处理脚本位于 `C:\ProgramData\kill.bat`，通过 `cmd.exe /c "C:\ProgramData\kill.bat"` 在 `as-pc2` 上执行。该脚本使用 `reg.exe` 通过注册表修改禁用了 Windows Defender。 **MITRE ATT&CK:** T1562.001 — 损害防御：禁用或修改工具 ### Q10 — 规避哈希 **Flag:** 识别规避脚本的哈希值。 ``` DeviceFileEvents | where TimeGenerated between (datetime(2026-01-01T00:00:00) .. datetime(2026-02-01T00:00:00)) | where DeviceName has_any ("as-pc1", "as-pc2", "as-srv") | where FileName contains "kill.bat" | project TimeGenerated, FileName, SHA256 ``` **答案:** `0e7da57d92eaa6bda9d0bbc24b5f0827250aa42f295fd056ded50c6e3c3fb96c` **揭示了什么:** SHA256 哈希唯一地标识了 `kill.bat` 脚本。该哈希可用于威胁情报查询，并用于识别在其他环境中部署的相同脚本。 **MITRE ATT&CK:** T1562.001 — 损害防御：禁用或修改工具 ### Q11 — 注册表篡改 **Flag:** Windows Defender 通过注册表修改被禁用。 ``` DeviceProcessEvents | where TimeGenerated between (datetime(2026-01-01T00:00:00) .. datetime(2026-02-01T00:00:00)) | where DeviceName has_any ("as-pc1", "as-pc2", "as-srv") | where FileName =~ "reg.exe" | project TimeGenerated, DeviceName, ProcessCommandLine, InitiatingProcessCommandLine, InitiatingProcessFileName, FileName, SHA256 ``` **答案:** `DisableAntiSpyware` **揭示了什么:** `kill.bat` 在 `HKLM\SOFTWARE\Policies\Microsoft\Windows Defender` 下设置 `DisableAntiSpyware = 1`，完全禁用了 Windows Defender 的反间谍软件功能。第二个键 `DisableRealtimeMonitoring = 1` 禁用了实时保护。 **MITRE ATT&CK:** T1562.001 — 损害防御：禁用或修改工具 ### Q12 — 注册表时间戳 **Flag:** 确定注册表何时被修改。 ``` DeviceRegistryEvents | where TimeGenerated between (datetime(2026-01-01T00:00:00) .. datetime(2026-02-01T00:00:00)) | where DeviceName has_any ("as-pc2") | where ActionType == "RegistryValueSet" | where RegistryKey contains "Windows Defender" | project TimeGenerated, InitiatingProcessCommandLine ``` **答案:** `2026-01-27T21:03:42Z` **揭示了什么:** 注册表在 2026 年 1 月 27 日 21:03 UTC 被修改，提供了 Defender 被禁用的精确时间戳——这是攻击时间轴上的一个关键锚点。 **MITRE ATT&CK:** T1562.001 — 损害防御：禁用或修改工具 ## 第 4 节 — 凭据访问 ### Q13 — 进程狩猎 **Flag:** 攻击者枚举了正在运行的进程，以定位凭据窃取的目标。 ``` DeviceProcessEvents | where TimeGenerated between (datetime(2026-01-01T00:00:00) .. datetime(2026-02-01T00:00:00)) | where DeviceName has_any ("as-pc1", "as-pc2", "as-srv") | where ProcessCommandLine has_any ("lsass") | project TimeGenerated, DeviceName, ProcessCommandLine, InitiatingProcessCommandLine, InitiatingProcessFileName, FileName, SHA256 | sort by TimeGenerated asc ``` **答案:** `tasklist | findstr lsass` **揭示了什么:** 攻击者在 21:11 UTC 在 `as-pc2` 上通过 `wsync.exe` 运行了 `tasklist | findstr lsass`，以在凭据转储前定位 `lsass.exe` 进程 ID。这是 LSASS 内存转储的标准前置步骤。 **MITRE ATT&CK:** T1057 — 进程发现 ### Q14 — 凭据管道 **Flag:** 在凭据窃取活动期间访问了一个命名管道。 ``` DeviceEvents | where TimeGenerated between (datetime(2026-01-01T00:00:00) .. datetime(2026-02-01T00:00:00)) | where DeviceName has_any ("as-pc2") | where ActionType contains "NamedPipeEvent" | project TimeGenerated, DeviceName, AdditionalFields, InitiatingProcessCommandLine | sort by TimeGenerated asc ``` **答案:** `\Device\NamedPipe\lsass` **揭示了什么:** 在 20:18 UTC 于 `as-pc2` 上访问了到 `lsass` 的命名管道，表明凭据转储工具通过其命名管道接口直接与 LSASS 进程交互——这与 Mimikatz 或自定义转储器等工具的行为一致。 **MITRE ATT&CK:** T1003.001 — 操作系统凭据转储：LSASS 内存 ## 第 5 节 — 初始访问 ### Q15 — 远程访问工具 **Flag:** 从上一次攻击中预部署了一个远程访问工具。 **答案:** `AnyDesk` **揭示了什么:** AnyDesk 在此前的入侵（“经纪人”）中已被预部署在环境中。攻击者重新利用了这一现有的远程访问立足点，以重新进入环境，而无需重新利用初始访问漏洞。 **MITRE ATT&CK:** T1219 — 远程访问软件 ### Q16 — 可疑执行路径 **Flag:** 远程访问工具在 AS-PC2 上的异常位置运行。 ``` DeviceProcessEvents | where TimeGenerated between (datetime(2026-01-01T00:00:00) .. datetime(2026-02-01T00:00:00)) | where DeviceName has_any ("as-pc2") | where FileName contains "anydesk" | project TimeGenerated, ActionType, FileName, FolderPath ``` **答案:** `C:\Users\Public` **揭示了什么:** `AnyDesk.exe` 从 `C:\Users\Public\` 执行，而不是合法的安装路径。这个全局可写目录无需管理员权限即可写入，它的使用表明攻击者放置并运行了 AnyDesk，而没有进行标准安装。 **MITRE ATT&CK:** T1036.005 — 伪装：匹配合法名称或位置 ### Q17 — 攻击者 IP **Flag:** 识别攻击者的外部 IP 地址。 **答案:** `88.97.164.155` **揭示了什么:** 攻击者在端口 7070 (AnyDesk 的直连端口) 上从 IP `88.97.164.155` 直接连接到了 `as-pc2` 上的 AnyDesk。该 IP 在端口 44207、43904 和 7070 上多次出现，区别于 AnyDesk 的中继基础设施 IP。 **MITRE ATT&CK:** T1219 — 远程访问软件 ### Q18 — 失陷用户 **Flag:** 识别被入侵的用户账户。 **答案:** `david.mitchell` **揭示了什么:** `as-pc2` 上的 `david.mitchell` 账户遭到入侵。攻击者利用此身份在整个攻击链中下载工具、运行扫描器并执行命令。 **MITRE ATT&CK:** T1078 — 有效账户 ## 第 6 节 — 命令与控制 ### Q19 — 主 Beacon **Flag:** 预部署的 beacon 无法维持稳定的通信。部署了一个新的 beacon。 ``` DeviceProcessEvents | where TimeGenerated between (datetime(2026-01-01T00:00:00) .. datetime(2026-02-01T00:00:00)) | where DeviceName has_any ("as-pc1", "as-pc2", "as-srv") | where FolderPath has_any ("Public", "ProgramData", "Temp", "AppData") | project TimeGenerated, FileName, FolderPath, ProcessCommandLine, InitiatingProcessFileName, InitiatingProcessCommandLine ``` **答案:** `wsync.exe` **揭示了什么:** 名为 `wsync.exe` 的新 C2 beacon 在 20:44 UTC 被部署到 `as-pc2`。该名称模仿了合法的 Windows 同步服务。它生成了所有后续的攻击者命令，包括进程枚举、卷影副本删除和防火墙禁用。 **MITRE ATT&CK:** T1105 — 入站工具传输 | T1071 — 应用层协议 ### Q20 — Beacon 位置 **Flag:** 识别 beacon 部署的位置。 **答案:** `C:\ProgramData\` **揭示了什么:** `wsync.exe` 被部署到了 `C:\ProgramData\`，这是攻击者常用的暂存目录，无需高权限即可写入，且受到的审查比 `C:\Windows\System32` 少。 **MITRE ATT&CK:** T1036.005 — 伪装：匹配合法名称或位置 ### Q21 — Beacon 哈希 **Flag:** AS-PC2 上的第一个 beacon 部署后来被替换。识别原始 beacon 的哈希值。 ``` DeviceFileEvents | where TimeGenerated between (datetime(2026-01-01T00:00:00) .. datetime(2026-01-28T00:00:00)) | where DeviceName has_any ("as-pc1", "as-pc2", "as-srv") | where FileName =~ "wsync.exe" | project TimeGenerated, DeviceName, FileName, FolderPath, SHA256, InitiatingProcessFileName, InitiatingProcessCommandLine ``` **答案:** `66b876c52946f4aed47dd696d790972ff265b6f4451dab54245bc4ef1206d90b` **揭示了什么:** 原始的 `wsync.exe` 在攻击期间被修改/替换。第一个版本的哈希确认了在攻击者将其替换为更新版本之前，最初使用的是一个不同的二进制文件。 **MITRE ATT&CK:** T1027 — 混淆文件或信息 ### Q22 — Beacon 创建 **Flag:** 第一个版本失败后，部署了第二个版本的 beacon。 **答案:** `0072ca0d0adc9a1b2e1625db4409f57fc32b5a09c414786bf08c4d8e6a073654` **揭示了什么:** 一个具有不同 SHA256 哈希的替换 beacon 在 20:22 UTC 被部署 `as-pc2`，表明攻击者积极管理其植入物，并在初始版本出现不稳定时将其替换。 **MITRE ATT&CK:** T1105 — 入站工具传输 ## 第 7 节 — 发现 ### Q23 — 扫描工具 **Flag:** 部署了一个网络扫描器。 ``` DeviceProcessEvents | where TimeGenerated between (datetime(2026-01-27T00:00:00) .. datetime(2026-01-28T00:00:00)) | where DeviceName == "as-pc2" | project TimeGenerated, FileName, SHA256, InitiatingProcessAccountName, ProcessCommandLine, ActionType, InitiatingProcessCommandLine | where InitiatingProcessAccountName == "david.mitchell" ``` **答案:** `scan.exe` **揭示了什么:** 自定义网络扫描器 `scan.exe` 在 20:17 UTC 于 `as-pc2` 上由 `david.mitchell` 部署并执行。该工具用于在内网横向移动之前发现存活主机和开放端口。 **MITRE ATT&CK:** T1046 — 网络服务发现 ### Q24 — 扫描器哈希 **Flag:** 识别扫描器的哈希值。 **答案:** `26d5748ffe6bd95e3fee6ce184d388a1a681006dc23a0f08d53c083c593c193b` **揭示了什么:** `scan.exe` 的 SHA256 哈希为攻击者使用的自定义扫描工具提供了唯一标识符。 **MITRE ATT&CK:** T1046 — 网络服务发现 ### Q25 — 扫描器执行 **Flag:** 网络扫描器使用特定参数执行，揭示了攻击者的意图。 **答案:** `/portable "C:/Users/david.mitchell/Downloads/" /lng en_us` **揭示了什么:** Advanced IP Scanner 从 `david.mitchell` 的 Downloads 文件夹以便携模式运行。便携模式无需安装，易于部署和移除，且不会留下注册表痕迹。 **MITRE ATT&CK:** T1046 — 网络服务发现 ### Q26 — 网络枚举 **Flag:** 攻击者枚举了特定主机上的网络共享。 ``` DeviceProcessEvents | where TimeGenerated between (datetime(2026-01-27T00:00:00) .. datetime(2026-01-28T00:00:00)) | where DeviceName has_any ("as-pc1", "as-pc2", "as-srv") | where ProcessCommandLine contains "view" | project TimeGenerated, DeviceName, SHA256, InitiatingProcessAccountName, ProcessCommandLine, ActionType, InitiatingProcessCommandLine ``` **答案:** `10.1.0.183`, `10.1.0.154` **揭示了什么:** 攻击者在 `as-srv` 上对两个内部 IP 运行了 `net.exe view` 以枚举网络共享。这识别出了随后被作为加密目标的共享文件夹（Backups、Clients、Compliance、Contractors、Payroll）。 **MITRE ATT&CK:** T1135 — 网络共享发现 ## 第 8 节 — 横向移动 ### Q27 — 横向账户 **Flag:** 一个账户被用于访问 AS-SRV。 ``` DeviceProcessEvents | where TimeGenerated between (datetime(2026-01-27T00:00:00) .. datetime(2026-01-28T00:00:00)) | where DeviceName has_any ("as-pc1", "as-pc2", "as-srv") | where ProcessCommandLine contains "view" | project TimeGenerated, DeviceName, SHA256, InitiatingProcessAccountName, ProcessCommandLine, ActionType, InitiatingProcessCommandLine ``` **答案:** `as.srv.administrator` **揭示了什么:** 攻击者使用了 `as.srv.administrator` 账户——可能是通过 LSASS 凭据转储获得的——向 `as-srv` 进行身份验证。该账户提供了提升的权限，使攻击者能够在服务器上部署勒索软件和暂存工具。 **MITRE ATT&CK:** T1078.002 — 有效账户：域账户 ## 第 9 节 — 工具传输 ### Q28 — 下载方法 **Flag:** 首先使用了一个 living-off-the-land 二进制文件，但出现了问题。 ``` DeviceProcessEvents | where TimeGenerated between (datetime(2026-01-27T19:00:00) .. datetime(2026-01-28T22:00:00)) | where DeviceName == "as-pc2" | where FileName == "bitsadmin.exe" | project TimeGenerated, ProcessCommandLine, InitiatingProcessCommandLine | sort by TimeGenerated asc ``` **答案:** `bitsadmin.exe` **揭示了什么:** `bitsadmin.exe` 是用于下载载荷的第一个工具，在 20:14 到 20:50 UTC 之间被观察到。下载命令包含格式错误的路径（`C:ProgramDatakill.bat` 缺少反斜杠），导致其失败——促使攻击者切换了方法。 **MITRE ATT&CK:** T1197 — BITS 作业 ### Q29 — 备用方法 **Flag:** 第一个工具失败后，使用了另一种方法。 ``` DeviceEvents | where TimeGenerated between (datetime(2026-01-27T20:15:00Z) .. datetime(2026-01-27T20:25:00Z)) | where DeviceName == "as-pc2" | where ActionType == "PowerShellCommand" | project TimeGenerated, AdditionalFields, InitiatingProcessCommandLine | sort by TimeGenerated asc ``` **答案:** `Invoke-WebRequest` **揭示了什么:** 在 `bitsadmin` 失败后，攻击者切换到 PowerShell 中的 `Invoke-WebRequest` 来下载工具。此 cmdlet 用于从 `sync.cloud-endpoint.net` 下载 `scan.exe` 和 `wsync.exe`。注意：这出现在 `DeviceEvents` 中，且 `ActionType == "PowerShellCommand"`，而不是 `DeviceProcessEvents`，因为它在 PowerShell 会话内运行，而不是生成新进程。 **MITRE ATT&CK:** T1059.001 — 命令和脚本解释器：PowerShell ## 第 10 节 — 数据窃取 ### Q30 — 暂存工具 **Flag:** 使用了一个工具来压缩数据以进行窃取。 ``` DeviceFileEvents | where TimeGenerated between (datetime(2026-01-27T22:00:00) .. datetime(2026-01-27T23:00:00)) | where DeviceName has_any ("as-pc1", "as-pc2", "as-srv") | where FileName == "exfil_data.zip" | project TimeGenerated, ActionType, DeviceName, FileName, FolderPath, InitiatingProcessFileName, InitiatingProcessCommandLine ``` **答案:** `st.exe` **揭示了什么:** 位于 `C:\ProgramData\` 中的自定义暂存工具 `st.exe` 被用于在 `as-srv` 上将窃取的数据压缩为 `exfil_data.zip`。该工具在内部处理压缩，而不是依赖 7-Zip 等常见实用程序，这使得通过标准的 LOLBin 狩猎更难检测到。 **MITRE ATT&CK:** T1560.001 — 归档收集的数据：通过实用程序归档 ### Q31 — 暂存哈希 **Flag:** 识别暂存工具的哈希值。 ``` DeviceFileEvents | where TimeGenerated between (datetime(2026-01-27T22:00:00) .. datetime(2026-01-27T23:00:00)) | where DeviceName has_any ("as-pc1", "as-pc2", "as-srv") | where FileName == "st.exe" | project TimeGenerated, ActionType, SHA256, DeviceName, FileName, FolderPath, InitiatingProcessFileName, InitiatingProcessCommandLine ``` **答案:** `512a1f4ed9f512572608c729a2b89f44ea66a40433073aedcd914bd2d33b7015` **揭示了什么:** `st.exe` 的 SHA256 哈希唯一地标识了此自定义窃取暂存工具，可用于威胁情报目的和跨环境检测。 **MITRE ATT&CK:** T1560.001 — 归档收集的数据：通过实用程序归档 ### Q32 — 窃取归档文件 **Flag:** 识别为窃取而创建的归档文件。 ``` DeviceFileEvents | where TimeGenerated between (datetime(2026-01-27T19:00:00) .. datetime(2026-01-28T23:59:00)) | where DeviceName has_any ("as-pc1", "as-pc2", "as-srv") | where FileName endswith ".zip" ``` **答案:** `exfil_data.zip` **揭示了什么:** `exfil_data.zip` 于 22:24 UTC 在 `as-srv` 上的 `C:\Users\Public\exfil_data.zip` 创建。该归档文件随后使用 `Invoke-WebRequest` 通过 HTTP POST 请求被窃取到攻击者的服务器。 **MITRE ATT&CK:** T1048 — 通过替代协议窃取 ## 第 11 节 — 勒索软件部署 ### Q33 — 勒索软件文件名 **Flag:** 勒索软件伪装成合法进程。 ``` DeviceFileEvents | where TimeGenerated between (datetime(2026-01-27T22:00:00) .. datetime(2026-01-27T23:00:00)) | where DeviceName has_any ("as-pc1", "as-pc2", "as-srv") | where FileName == "akira_readme.txt" | project TimeGenerated, ActionType, SHA256, DeviceName, FileName, FolderPath, InitiatingProcessFileName, InitiatingProcessCommandLine ``` **答案:** `updater.exe` **揭示了什么:** Akira 勒索软件二进制文件被命名为 `updater.exe`，以伪装成合法的软件更新程序进程。它负责加密文件并投递勒索信。 **MITRE ATT&CK:** T1036.005 — 伪装：匹配合法名称或位置 ### Q34 — 勒索软件哈希 **Flag:** 识别勒索软件的哈希值。 ``` DeviceFileEvents | where TimeGenerated between (datetime(2026-01-15T22:00:00) .. datetime(2026-01-27T23:00:00)) | where DeviceName has_any ("as-pc1", "as-pc2", "as-srv") | where FileName == "updater.exe" | project TimeGenerated, ActionType, SHA256, DeviceName, FileName, FolderPath, InitiatingProcessFileName, InitiatingProcessCommandLine ``` **答案:** `e609d070ee9f76934d73353be4ef7ff34b3ecc3a2d1e5d052140ed4cb9e4752b` **揭示了什么:** SHA256 哈希唯一地标识了 Akira 勒索软件二进制文件。该哈希可以提交给威胁情报平台进行丰富化，并用于创建检测签名。 **MITRE ATT&CK:** T1486 — 数据加密以造成影响 ### Q35 — 勒索软件暂存 **Flag:** 勒索软件在执行前被投递到 AS-SRV。 ``` DeviceFileEvents | where TimeGenerated between (datetime(2026-01-15T22:00:00) .. datetime(2026-01-27T23:00:00)) | where DeviceName has_any ("as-pc1", "as-pc2", "as-srv") | where FileName == "updater.exe" | project TimeGenerated, ActionType, SHA256, DeviceName, FileName, FolderPath, InitiatingProcessFileName, InitiatingProcessCommandLine ``` **答案:** `powershell.exe` **揭示了什么:** PowerShell 被用于在执行前将 `updater.exe` 暂存到 `as-srv`。这与攻击者在整个攻击链中使用 PowerShell 进行工具部署的更广泛模式一致。 **MITRE ATT&CK:** T1059.001 — 命令和脚本解释器：PowerShell ### Q36 — 恢复阻止 **Flag:** 攻击者删除了备份副本以阻止文件恢复。 ``` DeviceProcessEvents | where TimeGenerated between (datetime(2026-01-01T00:00:00) .. datetime(2026-02-01T00:00:00)) | where DeviceName has_any ("as-pc1", "as-pc2", "as-srv") | where ProcessCommandLine has_any ("shadowcopy") | project TimeGenerated, DeviceName, ProcessCommandLine, InitiatingProcessCommandLine, InitiatingProcessFileName, FileName, SHA256 | sort by TimeGenerated asc ``` **答案:** `wmic shadowcopy delete` **揭示了什么:** `wsync.exe` 在 21:09 UTC 执行了一系列恢复阻止命令，包括 `wmic shadowcopy delete`、`vssadmin delete shadows /all /quiet`、`bcdedit /set {default} recoveryenabled No`、`sc stop VSS` 和 `sc stop wbengine`。这些命令共同消除了所有卷影副本备份并禁用了 Windows 恢复机制。 **MITRE ATT&CK:** T1490 — 抑制系统恢复 ### Q37 — 勒索信来源 **Flag:** 加密开始后投递了勒索信。 ``` DeviceFileEvents | where TimeGenerated between (datetime(2026-01-27T00:00:00) .. datetime(2026-01-28T00:00:00)) | where DeviceName has_any ("as-pc1", "as-pc2", "as-srv") | where FileName == "akira_readme.txt" | where ActionType == "FileCreated" | project TimeGenerated, DeviceName, FileName, FolderPath, InitiatingProcessFileName, InitiatingProcessCommandLine ``` **答案:** `updater.exe` **揭示了什么:** 勒索软件二进制文件 `updater.exe` 在完成文件加密后投递了 `akira_readme.txt`。勒索信被写入受影响主机上的多个目录，以确保受害者能够看到。 **MITRE ATT&CK:** T1486 — 数据加密以造成影响 ### Q38 — 加密开始 **Flag:** 确定加密何时开始。 **答案:** `2026-01-27T22:18:33Z` **揭示了什么:** 第一个勒索信在 2026 年 1 月 27 日 22:18 UTC 投递，标志着加密阶段的开始。此时间戳将勒索软件的部署锚定在整体攻击时间轴中。 **MITRE ATT&CK:** T1486 — 数据加密以造成影响 ### Q39 — 清理脚本 **Flag:** 勒索软件二进制文件在执行后被删除。 ``` DeviceFileEvents | where TimeGenerated between (datetime(2026-01-27T00:00:00) .. datetime(2026-01-28T00:00:00)) | where DeviceName has_any ("as-pc1", "as-pc2", "as-srv") | where FileName == "updater.exe" | where ActionType == "FileDeleted" | project TimeGenerated, DeviceName, FileName, FolderPath, InitiatingProcessFileName, InitiatingProcessCommandLine ``` **答案:** `clean.bat` **揭示了什么:** 清理脚本 `clean.bat` 在勒索软件执行完成后删除了 `updater.exe`。这是一种反取证技术，用于在破坏完成后从磁盘上移除勒索软件二进制文件的证据。 **MITRE ATT&CK:** T1070.004 — 指标移除：文件删除 ### Q40 — 受影响主机 **Flag:** 确定失陷的范围。 **答案:** `as-srv, as-pc2` **揭示了什么:** 确认有两台主机遭到入侵。`as-pc2` 是最初的滩头阵地，攻击者在此通过 AnyDesk 获得了实际操作权限并部署了 C2 beacon。`as-srv` 是横向移动的目标，勒索软件最终在此部署，并且数据从共享驱动器中被窃取。 **MITRE ATT&CK:** T1570 — 横向工具传输 ## 攻击时间轴 | 时间 (UTC) | 主机 | 事件 | |---|---|---| | 2026-01-15 04:18 | as-pc1 | WMIC 横向移动至 as-pc2，通过 certutil 下载 AnyDesk | | 2026-01-15 04:41 | as-pc2 | AnyDesk 从 C:\Users\Public\ 执行 | | 2026-01-15 04:53 | as-pc2 | WMIC 横向移动至 10.1.0.203，投递 RuntimeBroker.exe | | 2026-01-27 20:14 | as-pc2 | bitsadmin 下载尝试开始（失败） | | 2026-01-27 20:17 | as-pc2 | scan.exe 执行，网络发现开始 | | 2026-01-27 20:22 | as-pc2 | Invoke-WebRequest 下载 wsync.exe 和 scan.exe | | 2026-01-27 20:18 | as-pc2 | 命名管道 \Device\NamedPipe\lsass 被访问（凭据窃取） | | 2026-01-27 20:44 | as-pc2 | wsync.exe 首次执行（C2 beacon 激活） | | 2026-01-27 21:03 | as-pc2 | 注册表被修改 — Windows Defender 被禁用 | | 2026-01-27 21:06 | as-pc2 | kill.bat 执行 — Defender 实时保护被禁用 | | 2026-01-27 21:09 | as-pc2 | 卷影副本被删除，防火墙被禁用，恢复被阻止 | | 2026-01-27 21:11 | as-pc2 | tasklist \| findstr lsass 执行 | | 2026-01-27 22:08 | as-srv | 观察到 AnyDesk 中继连接 | | 2026-01-27 22:17 | as-srv | 对内部共享进行 net view 枚举 | | 2026-01-27 22:18 | as-srv | updater.exe 部署，加密开始，勒索信投递 | | 2026-01-27 22:24 | as-srv | exfil_data.zip 由 st.exe 创建 | | 2026-01-27 22:24 | as-srv | exfil_data.zip 通过 HTTP POST 窃取至 sync.cloud-endpoint.net | | 2026-01-27 22:xx | as-srv | clean.bat 执行，updater.exe 被删除 | ## IOC 摘要 | 类型 | 值 | |---|---| | 勒索软件组织 | Akira | | TOR 地址 akira12iz6a7qgd3ayp316yub7xx2uep76idk3u2ko11pj5z3z636bad.onion | | 受害者 ID | 813R-QWJM-XKIJ | | 攻击者 IP | 88.97.164.155 | | C2 域名 | cdn.cloud-endpoint.net | | 载荷域名 | sync.cloud-endpoint.net | | C2 IP | 104.21.30.237, 172.67.174.46 | | AnyDesk 中继 | relay-0b975d23.net.anydesk.com | | 勒索软件二进制文件 | updater.exe | | 勒索软件哈希 | e609d070ee9f76934d73353be4ef7ff34b3ecc3a2d1e5d052140ed4cb9e4752b | | C2 Beacon | wsync.exe | | Beacon 哈希 (v1) | 66b876c52946f4aed47dd696d790972ff265b6f4451dab54245bc4ef1206d90b | | Beacon 哈希 (v2) | 0072ca0d0adc9a1b2e1625db4409f57fc32b5a09c414786bf08c4d8e6a073654 | | 规避脚本 | kill.bat | | 规避脚本哈希 | 0e7da57d92eaa6bda9d0bbc24b5f0827250aa42f295fd056ded50c6e3c3fb96c | | 暂存工具 | st.exe | | 暂存工具哈希 | 512a1f4ed9f512572608c729a2b89f44ea66a40433073aedcd914bd2d33b7015 | | 扫描工具 | scan.exe | | 扫描工具哈希 | 26d5748ffe6bd95e3fee6ce184d388a1a681006dc23a0f08d53c083c593c193b | | 窃取归档文件 | exfil_data.zip | | 失陷用户 | david.mitchell | | 横向移动账户 | as.srv.administrator | | 加密扩展名 | .akira |

标签：Akira勒索组织, AnyDesk, C2通信, Cloudflare, IP 地址批量处理, LSASS安全, MITRE ATT&CK, PDF恶意文件, Tor暗网, WMI, 初始访问, 勒索软件, 双重勒索, 安全报告, 安全运营, 影响与破坏, 扫描框架, 攻击链分析, 数字取证, 数据窃取, 横向移动, 编程规范, 网络安全, 自动化脚本, 远程控制软件, 隐私保护, 靶场实验