深信服EDR成功拦截利用Apache Log4j2漏洞Tellyouthepass 勒索,警惕攻击OA系统

2021-12-15 10,917

近日,Apache Log4j2远程代码执行高危漏洞(CVE-2021-44228)被曝光,各类攻击团伙乘虚而入,经深信服云端数据监测,已经出现团伙利用此漏洞发起勒索攻击。

 

12月13日,深信服终端安全团队和安服应急响应中心联合监测到一个名为Tellyouthepass的勒索病毒,该团伙已对双平台进行攻击。深信服捕获到大量Tellyouthepass勒索病毒拦截日志,如图所示。

图片1.png

 

重点关注!遭受Tellyouthepass勒索攻击均为某OA系统

 

仅在12月12日17:00-19:00、12月13日17:00-19:00时间段内,已有多个省份不同行业的用户数据遭到加密,且均为某OA系统。

图片2.png

(数据来源:深信服威胁情报团队)

 

该团伙主要利用漏洞公开到修复的时间差进行批量扫描攻击,由于漏洞已具有完整的POC,使其具有集成快、覆盖范围广、攻击时难以感知的特点。与常规的勒索病毒攻击相比,此类攻击的受影响较大的是存在漏洞的服务器,暂不具有内网自动横向的功能,但加密后数据无法直接解密,同样面临高额的勒索赎金。

 

  • 云端监测

深信服安全专家通过云蜜罐和云端防护日志监测,Tellyouthepass勒索针对某OA系统和某开源项目使用log4j2的漏洞共发起上千次起攻击,且通过拦截日志发现同一时间出现大量Tellyouthepass勒索病毒拦截记录。


  • 12月12日 18:07:21

终端日志排查,攻击者利用漏洞进行入侵;

图片3.png

终端日志


  • 12月12日 18:08:25

EDR查杀日志排查,深信服EDR拦截阻断勒索病毒加密,并自动进行隔离;

图片4.png

EDR查杀日志

 

双平台病毒分析

Windows系统

针对捕获的勒索病毒样本,安全专家进行了深入分析,针对该团伙利用CVE-2021-44228进行批量攻击,执行命令后下载勒索病毒文件到C:\debug.exe并执行,病毒执行后与后台IP进行通信:

图片5.png

 

对主机磁盘进行扫描

图片6.png

 

对每个磁盘下的文件进行扫描

图片7.png

 

在每个目录下写入README.html文件

图片8.png

 

对文件进行加密。

图片9.png 

 

释放勒索信内容如下

图片10.png 

 

加密后的文件如下,会修改文件后缀为.locked

图片11.png 

 

Linux系统

Linux系统的勒索病毒行为相似,在入侵后执行文件,与后台IP进行通信:

图片13.png


停止关键服务:

图片14.png 


扫描linux文件路径:

图片15.png

 

写入勒索文本:

图片16.png 


找到可加密的文件后通知加密协程:

图片17.png 


勒索文本如下:

图片18.png 

  

值得注意的是,Tellyouthepass勒索病毒已经不是第一次利用高危漏洞发起攻击,早在去年,其已利用永恒之蓝漏洞攻击多个组织单位。


本文作者:Further_eye

本文为安全脉搏专栏作者发布,转载请注明:https://www.secpulse.com/archives/171335.html

Tags:
评论  (0)
快来写下你的想法吧!

Further_eye

文章数:273 积分: 2055

深信服科技旗下安全实验室,致力于网络安全攻防技术的研究和积累,深度洞察未知网络安全威胁,解读前沿安全技术。

安全问答社区

安全问答社区

脉搏官方公众号

脉搏公众号