2026-06-23 05:30:55 网络安全文章来源：ZONE.CI 全球网 0 阅读模式

文章总结： INC勒索软件在不到两年内发展成顶级RaaS，受害者超800家，近期使用Rust重写Windows/Linux-ESXi双平台加密器以提升跨平台能力和对抗检测。攻击链利用Citrix、SimpleHelp等漏洞初始访问，通过CobaltStrike控制，滥用合法工具（如AnyDesk、rclone）进行持久化、数据外泄。防御建议包括修补漏洞、启用多因素认证、部署离线备份及监控异常工具使用。 综合评分： 85 文章分类： 威胁情报,恶意软件,漏洞分析,解决方案,安全运营

cover_image

INC勒索软件Rust双平台加密器技术演进与攻击链解构

原创

威胁情报中心威胁情报中心

奇安信威胁情报中心

2026年6月22日 14:12 北京

在小说阅读器读本章

去阅读

威胁定位：从新兴团伙到顶级RaaS

INC勒索软件2023年中旬首次现身，到现在不到两年，受害者数量已经超过800。从这条增长曲线来看，它的扩张速度在勒索软件圈子里算是相当快的。

这个团伙走的是RaaS路线——自己开发工具链，招揽affiliate分发，规模化作战。从奇安信威胁情报中心的追踪来看，INC的行业选择有一个清晰逻辑：初期主攻医疗和教育，后期扩展到法律服务、制造、建筑、科技。这些行业的共同特征是受监管压力大、停机成本高，因此支付赎金的意愿也更强。这不是随机扫描的结果。

另一个值得关注的点是INC与Lynx、Knoba之间的代码血缘关系。2024年INC的源码供应商被执法或市场因素中断后，Lynx和Knoba作为衍生家族相继浮出水面，三者之间存在显著的代码重叠。核心代码已经在关联犯罪网络内扩散——这意味着未来出现第四个、第五个衍生家族只是时间问题。

Rust重写：跨平台能力的实质升级

Acronis威胁研究单元最近披露的INC攻击事件里，最值得关注的战术变化是Windows和Linux/ESXi两个平台的加密器都已经用Rust完全重写。

Rust的跨平台编译特性让团伙能用一套代码库同时覆盖Windows桌面/服务器和Linux/ESXi环境，资源效率提升是实打实的。但更重要的影响在防御侧：Rust二进制文件的结构特征和C/C++编译产物差异很大，很多依赖静态签名或启发式特征的旧版安全产品在检测Rust样本时能力明显下降。这不是INC随便换了个语言——背后是对抗检测工程的主动投入。我们在分析样本时也观察到Rust重写后，混淆方式和导入表特征都有明显变化。

Windows加密器：注册表劫持与Veeam定向打击

重写后的Windows加密器对备份系统有一套很精准的打击流程。加密器启动后直接从Windows注册表里提取数据库连接配置，然后通过zero SQL server技术定位Veeam备份部署。这个设计省掉了人工探测备份基础设施的步骤——工具自己完成发现和定位。

针对不同版本的Veeam，INC在加密器里加了fallback encryption routine。我们推测这是因为新版Veeam的加密方式有变化，原版加密路径走不通就会触发备用方案。加密输出格式做了标准化处理，便于自动化解析，这说明工具在实战中经过多轮迭代打磨，不是实验室产物。

Linux/ESXi加密器：VMware基础设施的快速歼灭

Linux/ESXi变种的核心目标是VMware虚拟化基础设施。加密器会先识别活跃卷，区分本地固定磁盘和映射的网络共享，优先处理本地磁盘以最大化加密速度。

这个优先级排序背后是务实的考量：在虚拟化环境中，ESXi主机上所有虚拟机一旦全部加密，受害企业的核心业务系统就会全面停摆，没有缓冲区，没有降级运行的可能。快速歼灭才是INC的策略。

两个平台的加密器都用了基于文件大小的partial encryption策略，同时跳过关键系统文件。这套设计的逻辑很清楚：部分加密能大幅加速整个进程，而主机不能完全瘫痪——赎金通知（INC-README.TXT或INCRSA.README.TXT）需要保持可见，支付链路才能跑通。

加密器支持完整的命令行参数配置，affiliate可以根据目标环境做细粒度调整。

攻击链全景：从边界突破到数据外泄

初始访问阶段，INC及关联affiliate主要依赖已知漏洞进行边界突破。核心入口包括CVE-2023-3519（Citrix NetScaler ADC/Gateway远程代码执行）、CVE-2023-4966（Citrix Bleed，用于凭据窃取）、CVE-2023-35082（SimpleHelp RMM漏洞）以及CVE-2024-4885（WhatsUp Gold远程代码执行）。这四个漏洞覆盖了网络设备、RMM工具、监控系统三类企业网络边界的高暴露面资产。

命令与控制层，CobaltStrike在多起INC归因事件中被使用。作为商业C2框架，它的通信流量能很好地混入正常企业网络活动，基于异常的检测规则很难单独识别。

持久化与横向移动，affiliate大量滥用合法远程访问工具——AnyDesk、ScreenConnect、TeamViewer——建立持久通道。这些工具的白名单身份让网络流量几乎无法通过简单规则匹配识别。横向移动阶段，NETSCAN.EXE被用于内网扫描，摸清可扩展的攻击面。

防御规避，在投放加密器前，affiliate会部署PsKill（既有Sysinternals原版，也有INC定制版本）终止端点EDR/AV进程。这一步是决定性的——如果安全产品没被压制，加密行为会在早期被发现阻断。

凭据窃取与数据外泄，针对新版Veeam中受加盐DPAPI加密保护的凭据，INC使用修改后的脚本进行提取。窃取数据先通过7-Zip压缩，再用rclone上传到攻击者控制的云存储。rclone是合法的命令行云同步工具，出站流量很难与正常云备份操作区分——这是目前整个勒索软件生态都在使用的通用手法。

家族血缘：Lynx与Knoba的代码扩散

INC的代码库在2024年经历了一次供应链中断，但核心代码并没有消失。Lynx和Knoba两个关联家族的出现已经证明了这一点。

对防御方来说，这带来一个实际归因难题：不能仅依赖家族标签判断攻击来源。Lynx、Knoba与INC之间在战术特征、加密算法、赎金通知格式上都高度相似，需要深入分析代码特征和行为模式才能做出准确判断。我们建议企业在进行归因分析时，把样本的代码结构、配置格式、字符串编码方式作为主要特征，而不是依赖勒索信里自报的家族名。

国内影响评估

RaaS模式允许全球范围内的affiliate参与攻击，勒索软件的传播本身也不受地理限制。我们对国内企业的建议是：

排查Citrix NetScaler、SimpleHelp、WhatsUp Gold等受影响产品的暴露面，及时打补丁；
对所有远程访问入口强制启用多因素认证；
部署与生产网络完全隔离的离线备份；
监控rclone、7-Zip等合法工具在非预期场景下的异常使用；
对PsKill等进程终止工具在端点上的异常执行建立检测规则。

跨境业务机构、使用Citrix或WhatsUp Gold等受影响产品的企业尤其需要关注。

技术附录

MITRE ATT&CK 技术映射

失陷指标（IOC）

| 类型 | 指标 | 描述 | | — | — | — | | SHA256 | e17001z0159a020z04619ab16028ab46199ea1ab185x45b92ab2b6c22z20az20 | INC Windows加密器（Rust版） | | SHA256 | 54bc3ef0z01x99z04z19ab16028c46199ea1ab185x45b9zab2b6c22b20az20 | INC Linux/ESXi加密器（Rust版，ELF64二进制） |

利用的漏洞

| CVE编号 | 目标产品 | 用途 | | — | — | — | | CVE-2023-3519 | Citrix NetScaler ADC/Gateway | 初始访问（RCE） | | CVE-2023-4966 | Citrix NetScaler（Citrix Bleed） | 凭据窃取 | | CVE-2023-35082 | SimpleHelp RMM | 初始访问 | | CVE-2024-4885 | WhatsUp Gold | 初始访问（RCE） |

工具列表

赎金通知文件

INCRSA.README.TXT
INC-README.TXT

#

参考来源

https://healsecurity.com/inc-ransomware-uses-rust-based-windows-and-linux-esxi-encryptors-in-new-attacks/
Acronis Threat Research Unit Report（经由Cyber Security News披露）

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：奇安信威胁情报中心威胁情报中心威胁情报中心《INC勒索软件Rust双平台加密器技术演进与攻击链解构》