yankywilson/lynx-ransomware-cti

# 🔴 Lynx 勒索软件 — 全链路 CTI 调查包 通过二进制逆向工程、沙箱引爆、PCAP 分析和多平台 OSINT 基础设施转向，对真实野外 Lynx 勒索软件样本进行的全链路 CTI 调查。此包专为 SOC 分析师、检测工程师和威胁猎人构建。 ## ⚡ 对 SOC 分析师的 TL;DR | 什么是 | 值 | |---|---| | **家族** | Lynx 勒索软件 (INC 血统 → Lynx → Sinobi) | | **样本 SHA256** | `571f5de9dd0d509ed7e5242b9b7473c2b2cbb36ba64d38b32122a0a337d6cf8b` | | **实时运营商服务器** | `79.143.185.122` (Contabo 法兰克福，**今天活跃**) | | **受害者门户** | `ransom.it-dep[.]com` | | **泄露网站** | `lynxblog[.]net` (快速跳转，90+ 个 IP) | | **文件扩展名** | `.LYNX` | | **加密** | Curve25519 ECDH + AES-128-CTR，间歇性 1/6 加密 | | **PCAP 中的 C2？** | ❌ 没有 — 离线加密器，零网络 C2 | | **VSS 避免方法** | ✅ 通过 `DeviceIoControl` IOCTL 杀死影子副本 — **没有 vssadmin/wmic** | | **归属** | 很可能是说俄语的 RaaS 运营 (ICD-203) | | **被阻止？** | 使用 `/iocs/` 中的 IOC 文件进行即时防火墙/EDR 阻止 | ## 📁 仓库结构 ``` lynx-ransomware-cti/ │ ├── README.md ← You are here │ ├── docs/ │ ├── THREAT_PROFILE.md ← Full threat actor & malware profile │ ├── BINARY_ANALYSIS.md ← Deep RE findings (crypto, IOCTL, engine) │ ├── INFRASTRUCTURE.md ← Full infra map with pivot methodology │ ├── ATTRIBUTION.md ← Attribution assessment (ICD-203) │ └── ANALYST_NOTES.md ← Traps, false positives, caveats │ ├── playbooks/ │ ├── SOC_TRIAGE_PLAYBOOK.md ← First-responder 30-minute checklist │ ├── INCIDENT_RESPONSE.md ← IR steps if Lynx is detected │ └── HUNTING_GUIDE.md ← Proactive threat hunt procedures │ ├── yara/ │ ├── lynx_build_campaign.yar ← Campaign-specific (pubkey + PDB) │ ├── lynx_family.yar ← Family-level (CLI flags + strings) │ ├── lynx_antirecovery.yar ← IOCTL VSS destruction │ └── lynx_all.yar ← Combined ruleset │ ├── sigma/ │ ├── lynx_cli_execution.yml ← EDR command-line detection │ ├── lynx_vss_ioctl.yml ← VSS destruction via DeviceIoControl │ ├── lynx_file_extension.yml ← .LYNX extension creation │ ├── lynx_service_killer.yml ← Service termination pattern │ ├── lynx_safemode_reboot.yml ← Safe-mode reboot pre-encryption │ └── lynx_printer_spray.yml ← Ransom note printer broadcast │ ├── suricata/ │ ├── lynx_panel_etag.rules ← HTTP ETag fingerprint (live server) │ ├── lynx_domain_dns.rules ← DNS-based domain detection │ └── lynx_all.rules ← Combined ruleset │ ├── iocs/ │ ├── hashes.txt ← SHA256/MD5 hashes (plain text) │ ├── ips.txt ← IP addresses │ ├── domains.txt ← Domains (defanged) │ ├── onions.txt ← .onion addresses (defanged) │ ├── fingerprints.txt ← SSH/TLS/HTTP fingerprints │ ├── crypto_artifacts.txt ← Pubkey, PDB, binary strings │ └── iocs_master.csv ← All IOCs in CSV format │ ├── hunting/ │ ├── censys_queries.md ← CenQL hunting queries │ ├── huntio_queries.md ← HuntSQL queries │ ├── virustotal_queries.md ← VT Intelligence queries │ ├── anyrun_queries.md ← ANY.RUN TI Lookup queries │ └── splunk_kql_queries.md ← SIEM hunting queries │ └── stix/ └── lynx_bundle.json ← STIX 2.1 IOC bundle ``` ## 🚨 立即防御措施 ### 立即阻止以下 IP ``` 79.143.185.122 # Operator VPS — victim portal + panel (LIVE Jun 2026) ``` ### 立即阻止以下域名 ``` ransom.it-dep.com cve.it-dep.com m.it-dep.com it-dep.com lynxblog.net meradmin.lynxblog.net ``` ### 在您的环境中搜索以下内容 ``` File extension: .LYNX Process strings: --encrypt-network --load-drives --safe-mode Registry note: Control Panel\Desktop\Wallpaper → background-image.jpg File: README.txt (dropped in every encrypted directory) ``` ## 🔬 调查方法 此调查遵循 **从 URL 到运营商的 10 阶段框架**： | 阶段 | 状态 | 输出 | |---|---|---| | 1 — 沙箱引爆 + PCAP | ✅ 完成 | 未确认 C2，离线加密器 | | 2 — 沙箱语料库转向 | ✅ 完成 | 确认家族，INC 血统 | | 3 — 基础设施转向 | ✅ 完成 | 实时服务器 + 完整基础设施图 | | 4 — 恶意软件语料库 | ✅ 完成 | imphash 聚类，血统散列 | | 5 — 域名 + 证书情报 | ✅ 完成 | CT 历史，whois，被动 DNS | | 6 — 威胁行为者相关性 | ✅ 完成 | Lynx RaaS，INC 后继者 | | 7 — 运营商级别归属 | 🔶 部分完成 | 找到个人域名，身份未解决 | | 8 — 国籍归属 | 🔶 部分完成 | 很可能是说俄语的，2/3 轴 | | 9 — 报告 + 校准 | ✅ 完成 | 此包 | | 10 — 分析师 OPSEC | ✅ 应用 | 空气隔离 RE，仅被动 OSINT | **使用的工具：Ghidra，FLOSS，CAPA，Triage，tshark，Censys，Hunt.io，Validin，Silent Push，crt.sh，Validin，YARAify，MalwareBazaar，ThreatFox ## 📊 关键统计数据 | 指标 | 值 | |---|---| | 分析的二元函数 | 703 个总函数，311 个库（过滤） | | 提取的字符串（FLOSS） | 701 个静态 + 1 个堆栈 + 6 个解码 | | 分析的 PCAP 数据包（引爆 1） | 702 个数据包 | | 分析的 PCAP 数据包（引爆 2） | 4,195 个数据包 | | lynxblog.net 快速跳转中的唯一 IP | 90+ | | 分析的被动 DNS 记录 | 200+ | | 分析的证书（crt.sh） | 36 个（it-dep.com + anacondasweden.com） | | 运营商 VPS 上的 Censys 服务 | 14 | | 提取的洋葱地址 | 16 个（8 个聊天 + 8 个博客） | | 生成的 YARA 规则 | 4 | | 生成的 Sigma 规则 | 6 | | 生成的 Suricata 规则 | 4 | ## ⚖️ 许可证 & 归属 - **TLP:CLEAR** — 随意重新分发，需注明出处 - 所有 IOC 都通过多个独立来源验证 - 由以下机构证实：Maltrail，usom.gov.tr，@AlvieriD，TheRavenFile - 样本在 MalwareBazaar 上可用：`571f5de9...` *如果这对您的团队有帮助，请回馈 — 向 ThreatFox 提交新的 IOC，将 YARA 改进推送到 YARAhub.*

标签：Metaprompt, 日志审计, 逆向工具