n0o0b's blog

large picture of the cover

2025年Solar应急响应公益月赛-8月

image-20250830223802496

勒索环境溯源排查

本环境来源于勒索病毒应急响应案例
此环境中涉及的勒索家族全版本加密器,思而听(山东)信息科技有限公司、solar应急响应团队已破解
在环境中已给出步骤提示,请您一步步完成每一道题目,最终复盘为什么要这么做
主要在其中黑客怎么关闭的Windows杀毒软件?可以仔细思考一下
排好时间线后可以根据桌面已有的 训练环境介绍-必读 中的溯源报告进行输出相关报告

Administrator 密码为 Sierting789@

注意:如在环境启动后的一分钟没有看到3306端口开放,可手动启动phpstudy
注意:勒索加密原则上会加密所有可读、可运行文件等,但为了提高学习效率和简易程度,所以恢复了一部分文件作为线索,你可以仔细找找哦
防勒索官网:http://应急响应.com

分数

100 分

【任务1】勒索环境溯源排查

题目描述

上机排查提交病毒家族的名称,可访问应急响应.com确定家族名称,以flag{xxx}提交 首字母大写。

LIVE后缀

image-20250830170639299

solar上搜得Live家族

image-20250830170857990

【任务2】勒索环境溯源排查

题目描述

提交勒索病毒预留的ID,以flag{xxxxxx}进行提交

170605242653

image-20250830171028606

文件名即为ID

image-20250830171129094

【任务3】勒索环境溯源排查

题目描述

解密并提交桌面中flag.txt.LIVE的flag,以flag{xxxx}提交

恢复工具-Solar应急响应团队

image-20250830171831838

【任务4】勒索环境溯源排查

题目描述

提交Windows Defender删除攻击者C2的时间,以flag{2025.1.1_1:10}格式提交

windows Defender 看记录

image-20250830101249023

【任务5】勒索环境溯源排查

题目描述

提交攻击者关闭Windows Defender的时间,以flag{2025.1.1_1:10}格式提交

事件管理器,应用程序和服务日志 → Microsoft → Windows → Windows Defender → Operational,查看5001事件

image-20250830102002537

image-20250830101959515

【任务6】勒索环境溯源排查

题目描述

提交攻击者上传C2的绝对路径,格式以flag{C:\xxx\xxx}提交

everything查看事发时间新建文件,dm:2025/08/25

image-20250830172650486

flag{C:\Users\Administrator\Downloads\Wq12D.exe}

【任务7】勒索环境溯源排查

题目描述

提交攻击者C2的IP外联地址,格式以flag{xx.x.x.x}提交

沙箱

image-20250830120356397

【任务8】勒索环境溯源排查

题目描述

提交攻击者加密器绝对路径,格式以flag{C:\xxx\xxx}提交

flag{C:\Users\Administrator\Documents\systime.exe}

image-20250830105313335

【任务9】勒索环境溯源排查

题目描述

溯源黑客攻击路径,利用的哪个漏洞并推测验证,提交起运行文件绝对路径,如:flag{C:\xxx\xxx\xxx}

一个pbootcms,一个ruoyi,pbootcms在phpstudy启动,ruoyi bat启动

image-20250830115114802

木马文件

image-20250830115140881

打开phpstudy时数据库语法报错,mysql中有ruoyi的数据库,可以猜到是从ruoyi打进来的,同时ruoyi-4.7.1也存在漏洞

image-20250830114721004

flag{E:\ruoyi\ruoyi-admin.jar}

strange_downloader(未解出)

追踪socket连接s以及v66可以找到每次发包的位置sub_1400097D0

image-20250830123605814

对应请求

开始42 e5 01 00 00 01 00 00 00 00 00 00 06

结尾00 00 10 00 01

image-20250830122622055

v3为dns携带的随机数据块,固定8bytes,可以追溯到由该函数第三个参数传入

image-20250830122756385

发送udp请求

image-20250830123030773

image-20250830122834529

回到main,找到

异步接收

image-20250830123804356

image-20250830123823773

image-20250830151141244

image-20250830151231849

image-20250830151509914

image-20250830155157734

运行后patch内存模拟得到

屏幕截图 2025-08-30 160715

解密出来不是可执行文件

import re

with open("data.txt", "r", encoding="utf-8", errors="ignore") as f:
    data = f.read()
# 匹配域名
matches = re.findall(r'\b(?!movies\.dengdualang)([a-z0-9]+\.[a-z0-9]+\.[a-z0-9]+)\.cc', data)

results = ["".join(part.split(".")) for part in matches]


str="ag3k3s9kwaigcy0gikwsg0uao9oisess"
key="acegikmoqsuwy039"
def search_index(chr):
    for i in range(len(key)):
        if key[i] == chr:
            return i

for str in results:
    for i in range(len(str) // 2):
        b1 = hex(search_index(str[2 * i]))[2:]
        b2 = hex(search_index(str[2 * i + 1]))[2:]
        b = b2 + b1
        shellcode=
        print(b, end="")
site logo

Welcome 2 n0o0b's home

© 2025 n0o0b's blog