【安全热点】从畅捷通漏洞利用事件看勒索病毒如何防治

2022-09-02 23,866
一、概述


近期不法分子利用流行企业办公软件畅捷通T+的任意文件上传漏洞(0day),上传恶意文件并投放勒索病毒,对用户机器内的文件进行加密,要求支付赎金0.2比特币(约2.8万元***)。目前已有大量用户中招,且该勒索无法解密。


本文主要通过对这一“漏洞利用 + 勒索病毒利用”的安全事件进行分析,希望给予读者朋友专业的处置和防范建议。


二、漏洞利用


2022年8月29日和8月30日,畅捷通公司紧急发布安全补丁修复了畅捷通T+软件任意文件上传漏洞。未经身份认证的攻击者利用该漏洞,通过绕过系统鉴权,在特定配置环境下实现任意文件的上传,从而执行任意代码,获得服务器控制权限。目前,已有用户被不法分子利用该漏洞进行勒索病毒攻击的情况出现。


漏洞影响范围:

畅捷通T+: 17.000.000.0000--17.000.000.0101

畅捷通T+: 16.000.000.0000--16.000.000.0264

畅捷通T+: 15.000.000.0000--15.000.000.0311

畅捷通T+: 13.000.000.0000--13.000.001.0379

畅捷通T+: 12.000.000.0000--12.300.004.0005

造成漏洞的原因是Upload.aspx文件对用户上传的内容验证不足,攻击者可构造恶意请求上传恶意文件,从而执行任意代码,控制服务器。安全狗已对漏洞进行复现,具体利用细节暂不公开。


image.png

图1

image.png

图2


三、勒索攻击事件分析


此次攻击事件,利用了ASP.NET可加载本地DLL文件的特性,提前将aspx页面和bin文件进行编译,并利用任意文件上传漏洞将执行所需的三个文件

(Load.aspx、load.aspx.cdcab7d2.compiled、App_Web_load.aspx.cdcab7d2.dll)上传到服务器。


在请求Load.aspx页面时携带恶意载荷,通过load.aspx.cdcab7d2.compiled指向处理DLL:


image.png

图3


App_Web_load.aspx.cdcab7d2.dll文件指定解析目录为:~/Load.aspx

image.png

图4


当访问Load.aspx时,触发App_Web_load.aspx.cdcab7d2.dll中的__Render__control1函数,对请求内容进行提取并进行调用CreateDecryptor方法进行AES解密,随后加载到内存执行:


image.png图5


本次携带的恶意载荷执行后对本地文件进行加密(.locked后缀)

image.png

图6


并附带READ_ME.html,要求支付0.2btc到 bc1q22xcf2667tjq9ug0fgsmxmfm2kmz321wtn4m7v以还原文件,还附加了邮箱:service@sunshinegirls.space,方便联系指导:

image.png

图7


四、响应措施与防护建议


1、响应措施

针对已中毒用户:

  • 若刚发现勒索信弹出,紧急关闭电源,尝试止损;再进入安全模式,删除恶意程序文件,可能会保留部分还未加密的数据。

  • 若数据已全部加密,往往需要基于已有的备份进行数据还原,否则数据无法恢复。

2、处置建议

针对未中毒用户:

  • 保证系统安全更新已打开,及时更新系统;

  • 更新到以下安全版本:

17.000.000.0101

16.000.000.0264

15.000.000.0311

13.000.001.0379

12.300.004.0005


  • 安装安全防护产品,并保持病毒库为最新版本;

  • 本地安装客户需尽快确认备份文件是否完整,及时备份数据,多地存储(云端、硬盘、备份主机);云上客户请及时开启镜像、快照功能;

  • 无法及时更新补丁的用户,可联系畅捷通技术支持,采取删除文件等临时防范措施。 


五、总结


此次的勒索病毒事件与软件供应链攻击、网络与漏洞攻击息息相关,它们数据中心服务器所面临的高频的勒索病毒植入方式。此外,需要警惕的勒索病毒植入方式还包括:U 盘蠕虫、网页挂马、软件捆绑、钓鱼邮件、通过僵尸网络分发、水坑攻击等等。在遭遇勒索病毒攻击后,企业损失的不仅仅是赎金,也可能陷入业务停顿、信誉损失、法律诉讼、人力和时间成本等困境。因此,相关用户应该予以重视。


参考资料

https://www.cnvd.org.cn/webinfo/show/8056

https://service.chanjet.com/product/goods/goods-detail?id=53aaa40295d458e44f5d3ce5



本文作者:安全狗

本文为安全脉搏专栏作者发布,转载请注明:https://www.secpulse.com/archives/186638.html

评论  (0)
快来写下你的想法吧!

安全狗

文章数:32 积分: 180

基于智能驱动的新一代云安全公司

安全问答社区

安全问答社区

脉搏官方公众号

脉搏公众号