Interlock这个勒索软件团伙最近玩得有点大,直接拿到了Cisco Secure Firewall Management Center的零日漏洞CVE-2026-20131,CVSS直接拉满10.0分。漏洞本质是反序列化用户提供的Java字节流没做校验,未经身份验证的远程攻击者就能直接执行任意Java代码,而且是以root权限跑。
亚马逊威胁情报团队挖出,这玩意儿从2026年1月26日就开始被Interlock当零日用了,比思科公开披露早了整整一个多月。攻击者领先防守方整整七天时间,足够他们悄摸摸进好几家企业内部了。亚马逊CISO CJ Moses直言,这不是普通漏洞被利用,而是对手手里攥着零日,防守方连补丁影子都没见着。
他们是怎么发现的?说来有点戏剧性。Interlock自己运维翻车,基础设施服务器配错权限,把整个工具链暴露给了亚马逊的MadPot全球传感器网络。里面东西齐全到吓人:多阶段攻击链、自研远控木马、侦察脚本、各种绕过检测的手法,一览无余。
攻击流程大概这样:先发特制HTTP请求打到FMC某个特定路径,触发反序列化执行任意代码。得手后受害设备会主动发HTTP PUT给外部服务器报喜,确认成功。接着拉一个ELF二进制文件下来,里面打包了Interlock一整套后门工具。
工具清单很硬核。PowerShell侦察脚本扫Windows环境,OS版本、硬件信息、运行服务、已装软件、存储配置、Hyper-V虚拟机清单全抓,还翻用户桌面、文档、下载文件夹,浏览器痕迹(Chrome、Edge、Firefox、IE、360浏览器)一个不落,连Windows事件日志里的RDP认证记录都扒。
远控部分更狠,自研JavaScript和Java木马,支持交互shell、任意命令执行、双向文件传输、SOCKS5代理,还带自升级和自删除功能。想换新版本或者跑路擦痕?直接自毁,不用二次感染,法证取证直接头大。
Linux服务器他们也不放过,Bash脚本把目标机改成HTTP反向代理,用fail2ban加HAProxy监听80端口,所有进来的HTTP流量硬转发到指定IP。日志清理更绝,每五分钟cron任务把*.log文件删干净,HISTFILE变量直接unset,shell历史记录彻底抹掉。
还有内存驻留webshell,专门检查请求里带加密参数的payload,解密后执行。轻量级网络beacon用来验证端口可达性。ConnectWise ScreenConnect也被他们拿来做持久化后门,万一其他通道被干掉,还有备用路子。甚至连Volatility内存取证框架都打包带走,摆明准备对抗调查。
Interlock身份基本坐实,赎金留言和TOR谈判入口技术特征高度吻合,作案时间偏UTC+3时区。思科这回被零日打脸,亚马逊直接把情报喂给厂商,帮着补救客户。
当前行情一片血,BTC现报$71,131(24h -4.15%),ETH现报$2,191(24h -5.88%),加密市场跟着传统资产一起晃。企业防火墙中招,内部网络直接门户大开,勒索团伙进门后横冲直撞,数据加密、勒索、甚至二次变现一条龙服务。
Moses一句话点透本质:零日窗口期就是防守方的死穴,再勤快打补丁也挡不住提前一个月被利用的事实。单靠快速补丁已经不够,防御纵深必须真正落地,多层控制才能在补丁出来前撑住场面。
思科FMC用户现在最该干的事:立刻检查补丁状态,跑全盘扫描看有没有可疑ScreenConnect实例,日志翻干净,看有没有不明PUT请求和ELF下载痕迹。别等赎金留言弹出来才后悔。
Google那边也放话,勒索团伙收钱越来越难,开始转向VPN和防火墙漏洞做初始访问,外部工具用得少,更多靠Windows自带功能走侦察、提权、横移。未来数据窃取+敲诈可能比单纯加密更常见,攻击者手里攥着访问权限,随时可以卖给别人或者干别的坏事。
Interlock这次零日操作,暴露的不仅是Cisco一个产品的问题,更是整个行业面对零日时的脆弱。防守方永远慢半拍,攻击者却能提前卡位。补丁来得再快,也填不上那段真空期。