RDP密码喷洒到全网沦陷：RansomHub勒索软件六日入侵全链路

2026-04-13 04:49:29 网络安全文章来源：ZONE.CI 全球网 0 阅读模式

文章总结： 文档详细记录了攻击者通过RDP密码喷洒攻击在6天内完成从初始入侵到RansomHub勒索软件全网部署的全过程。攻击链包括使用Mimikatz窃取凭据、利用LOLBins和扫描工具进行网络发现、通过Rclone外传数据，最终通过SMB传播勒索软件。关键发现显示TTR约为118小时，并提供针对RDP安全监控、LSASS访问检测、可疑文件创建等具体防御建议。 综合评分： 85 文章分类： 应急响应,渗透测试,威胁情报,恶意软件,漏洞分析

────────────────

七、勒索软件部署

第六天，攻击者在一台服务器上投放了名为 amd64.exe 的勒索软件二进制并执行。勒索软件通过以下步骤完成全网加密：

勒索软件执行流程：

本地主机文件加密
通过 SMB 将勒索软件传输到远程主机（随机文件名，如 C:\[random_string].exe）
使用 远程服务 在目标主机上执行
终止运行中的虚拟机
设置宽松的符号链接（fsutil）
删除卷影副本（vssadmin Delete Shadows /all /quiet）
清除 Windows 事件日志（wevtutil cl security/system/application）
生成勒索说明文件，指向 RansomHub 组织

────────────────

八、防御规避

攻击者在数据外传后约 20 小时返回文件服务器，专门删除了 Rclone 相关文件以消除痕迹。在勒索软件部署阶段，通过以下命令清除证据：

vssadmin.exe Delete Shadows /all /quiet fsutil behavior set SymlinkEvaluation R2L:1 fsutil behavior set SymlinkEvaluation R2R:1 wevtutil cl security wevtutil cl system wevtutil cl application

────────────────

九、IoC 情报指标

────────────────

十、检测建议

关键检测点： • 监控外部 IP 通过 RDP（端口 3389）的登录尝试 • Event ID 4624 LogonType 10（远程交互式登录） • Event ID 5379（凭据枚举和读取） • Sysmon Event ID 10（进程访问 LSASS） • Sysmon Event ID 11 — delete.me 文件创建（NetScan 指标） • Event ID 7045（RMM 工具服务安装） • 监控 C:\ProgramData\Veeam\ 目录中的可疑文件 • SMB 流量中随机文件名的相同大小文件传输 • JA4S 指纹分组可用于关联攻击者来源

────────────────

来源：The DFIR Report — “Hide Your RDP: Password Spray Leads to RansomHub Deployment” 原文链接：https://thedfirreport.com/2025/06/30/hide-your-rdp-password-spray-leads-to-ransomhub-deployment/ MITRE ATT&CK：T1110.003 (Password Spraying) / T1003.001 (LSASS) / T1021.001 (RDP) / T1570 (Lateral Tool Transfer) / T1486 (Data Encrypted for Impact) / T1490 (Inhibit System Recovery)

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：Desync InfoSec bitbot bitbot《RDP密码喷洒到全网沦陷：RansomHub勒索软件六日入侵全链路》