2025年8月，安全廠商Morphisec截獲了一份奇怪的樣本。文件哈希值從未見過，行為特征卻帶著熟悉的簽名——Pay2Key，那個(gè)曾讓中東企業(yè)頭疼的勒索團(tuán)伙，正在測(cè)試他們的新玩具。

這不是Windows版換皮。樣本分析顯示，這是一個(gè)從零構(gòu)建的Linux原生變種，代號(hào)Pay2Key.I2。攻擊目標(biāo)直接跳過終端用戶，對(duì)準(zhǔn)了企業(yè)最不敢停機(jī)的資產(chǎn)：數(shù)據(jù)庫(kù)服務(wù)器、虛擬化集群、云工作負(fù)載。

Linux長(zhǎng)期享受著"更安全"的市場(chǎng)認(rèn)知。企業(yè)采購(gòu)流程里，它常作為Windows的替代方案出現(xiàn)，附帶一個(gè)未經(jīng)審視的假設(shè)——針對(duì)它的攻擊工具鏈不夠成熟，攻擊者興趣有限。Pay2Key.I2的出場(chǎng)，把這個(gè)假設(shè)撕了一道口子。

先拆鎖，再搬空

Pay2Key.I2的執(zhí)行邏輯帶著明顯的工程思維。它不玩潛伏，也不搞社會(huì)工程釣魚，而是預(yù)設(shè)一個(gè)前提：攻擊者已經(jīng)拿到了root權(quán)限。

這個(gè)設(shè)計(jì)選擇很說明問題。傳統(tǒng)勒索軟件常把提權(quán)作為攻擊鏈的一環(huán)，Pay2Key團(tuán)隊(duì)顯然覺得這事效率太低。他們的解決方案是——讓payload拒絕在普通權(quán)限下運(yùn)行，倒逼攻擊前置階段解決身份問題。一旦root到手，勒索軟件以最高系統(tǒng)權(quán)限啟動(dòng)，文件系統(tǒng)、進(jìn)程空間、內(nèi)核模塊全部敞開。

執(zhí)行后的第一步不是加密，而是清場(chǎng)。Pay2Key.I2會(huì)枚舉所有運(yùn)行中的服務(wù)并強(qiáng)制停止，殺掉可能干擾加密進(jìn)程的活躍任務(wù)。兩個(gè)Linux核心安全框架SELinux（安全增強(qiáng)型Linux）和AppArmor被顯式禁用——相當(dāng)于進(jìn)門先把報(bào)警器和監(jiān)控探頭全砸了。

Morphisec研究員在報(bào)告中提到一個(gè)細(xì)節(jié)：惡意軟件通過操作/proc/sys/kernel/selinux/disable直接關(guān)閉SELinux，而不是嘗試?yán)@過策略。這種"掀桌"式操作反映出攻擊者對(duì)Linux系統(tǒng)結(jié)構(gòu)的熟悉程度，他們知道防御機(jī)制的安裝位置，也清楚最省事的拆除方式。

清場(chǎng)完成后，Pay2Key.I2開始建立持久化。它在crontab里寫入一條重啟觸發(fā)指令，確保系統(tǒng)管理員即使發(fā)現(xiàn)異常并強(qiáng)制重啟，勒索軟件也能在開機(jī)后自動(dòng)恢復(fù)執(zhí)行。這個(gè)設(shè)計(jì)針對(duì)的是應(yīng)急響應(yīng)中的常見操作——很多管理員的第一反應(yīng)是"重啟試試"，而這里恰恰埋了雷。

只挑值錢的下手

文件加密階段暴露了Pay2Key.I2的商業(yè)算計(jì)。它不會(huì)無腦全盤加密，而是讀取/proc/mounts獲取所有掛載點(diǎn)信息，按文件系統(tǒng)類型分類處理。

這種選擇性策略有兩個(gè)目的：一是優(yōu)先覆蓋高價(jià)值數(shù)據(jù)存儲(chǔ)位置，比如數(shù)據(jù)庫(kù)卷、虛擬機(jī)鏡像目錄、云存儲(chǔ)掛載點(diǎn)；二是保留系統(tǒng)基礎(chǔ)功能，讓主機(jī)維持"能開機(jī)、能顯示勒索信"的最低運(yùn)行狀態(tài)。受害者需要看到贖金要求，也需要相信付錢后系統(tǒng)能恢復(fù)——一個(gè)徹底黑掉的機(jī)器對(duì)雙方都沒價(jià)值。

加密完成后，Pay2Key.I2會(huì)留下標(biāo)準(zhǔn)的勒索信模板，要求受害者在限定時(shí)間內(nèi)聯(lián)系指定郵箱協(xié)商贖金。Morphisec沒有公開具體金額，但參考該團(tuán)伙歷史案例，企業(yè)級(jí)目標(biāo)的贖金通常以比特幣計(jì)價(jià)，六位數(shù)美元起步。

攻擊時(shí)間線顯示，Pay2Key.I2的野外首次檢出是2025年8月下旬?？紤]到樣本分析、威脅情報(bào)流轉(zhuǎn)、企業(yè)安全團(tuán)隊(duì)響應(yīng)的周期差，多數(shù)潛在受害者在9月前可能并未意識(shí)到風(fēng)險(xiǎn)敞口的存在。

Linux勒索的盲區(qū)正在縮小

Pay2Key不是第一個(gè)碰Linux的勒索團(tuán)伙，但這次變種的技術(shù)完成度值得注意。它填補(bǔ)了公開安全研究中一個(gè)長(zhǎng)期存在的空白：針對(duì)Linux基礎(chǔ)設(shè)施的勒索工具鏈，正在從"概念驗(yàn)證"走向"產(chǎn)品化"。

企業(yè)安全架構(gòu)的一個(gè)慣性假設(shè)是，終端防護(hù)（EDR，端點(diǎn)檢測(cè)與響應(yīng)）可以覆蓋主要風(fēng)險(xiǎn)面。這個(gè)假設(shè)在Windows環(huán)境基本成立，因?yàn)楣袈窂酱蠖嘟?jīng)過用戶桌面。但Pay2Key.I2的攻擊模型繞開了這個(gè)層面——它假設(shè)初始入侵已經(jīng)完成，root權(quán)限已經(jīng)獲取，直接從基礎(chǔ)設(shè)施內(nèi)部啟動(dòng)破壞。

這意味著傳統(tǒng)的"邊界防御+終端防護(hù)"雙層架構(gòu)出現(xiàn)斷層。服務(wù)器層、虛擬化層、云原生環(huán)境的安全監(jiān)控能力，在很多組織內(nèi)部是明顯弱于終端側(cè)的。攻擊者顯然做過功課，他們選擇了一條阻力最小的路徑。

更深層的問題在于Linux安全研究的資源分布。公開漏洞庫(kù)、威脅情報(bào)、防護(hù)工具的商業(yè)生態(tài)，長(zhǎng)期以Windows和macOS為中心。企業(yè)采購(gòu)安全產(chǎn)品時(shí)，Linux服務(wù)器的agent覆蓋常作為"附加功能"存在，而非核心設(shè)計(jì)目標(biāo)。Pay2Key.I2的出現(xiàn)，把這種結(jié)構(gòu)性短板變成了可 exploited（利用）的攻擊面。

從威脅演進(jìn)的角度看，Pay2Key團(tuán)隊(duì)的策略調(diào)整也有跡可循。該團(tuán)伙在2020-2021年活躍期主要針對(duì)以色列企業(yè)，2022年后一度沉寂，2024年下半年開始重新露面。此次Linux變種的發(fā)布，配合其對(duì)云工作負(fù)載的明確興趣，暗示攻擊目標(biāo)正在從地域性、行業(yè)性篩選，轉(zhuǎn)向基礎(chǔ)設(shè)施類型篩選——任何運(yùn)行Linux的服務(wù)器集群，無論地理位置，都可能進(jìn)入射程。

防御側(cè)的應(yīng)對(duì)窗口正在收窄。Morphisec建議企業(yè)審查服務(wù)器層的訪問控制策略，限制root權(quán)限的獲取路徑，并在Linux環(huán)境部署行為監(jiān)控能力。但這些措施的實(shí)施復(fù)雜度，遠(yuǎn)高于給Windows筆記本裝個(gè)殺毒軟件。

Pay2Key.I2的樣本目前已被多家安全廠商標(biāo)記，特征碼和YARA規(guī)則正在分發(fā)。但對(duì)于已經(jīng)中招的組織，恢復(fù)選項(xiàng)取決于備份策略的完備程度——勒索軟件加密后的文件，在沒有私鑰的情況下無法還原。

一個(gè)值得玩味的細(xì)節(jié)是，Pay2Key.I2的代碼中保留了大量調(diào)試符號(hào)和日志輸出功能，這在成熟的惡意軟件中并不常見。Morphisec研究員推測(cè)，該樣本可能仍處于早期部署階段，后續(xù)版本會(huì)逐步清理這些痕跡。如果屬實(shí)，當(dāng)前檢出的版本只是測(cè)試彈，更隱蔽的迭代正在路上。

企業(yè)安全團(tuán)隊(duì)現(xiàn)在面臨的問題是：當(dāng)攻擊者把Linux服務(wù)器當(dāng)作首要目標(biāo)而非附帶傷害，現(xiàn)有的監(jiān)控、響應(yīng)、恢復(fù)流程，有多少需要推倒重來？