Tellyouthepass结合高危漏洞实施攻击:产品联动保护用户数据安全!

2023-05-22 6,949

恶意文件名称:

Tellyouthepass

威胁类型:

勒索病毒

简单描述:

Tellyouthepass 勒索病毒从 2020 年 7 月开始在国内活跃,早期利用永恒之蓝漏洞攻击套件扩散传播,之后通过 Log4j2 漏洞、Shiro 反序列化漏洞等执行任意代码,从而控制受害主机。该家族针对 Windows 和 Linux 实现双平台勒索,多次活跃直接导致国内多个企业大面积业务停摆。


恶意文件分析

事件描述

自 5 月 7 日起,深信服深盾终端实验室收到了多家单位的勒索应急求助,网络与应用安全能力部、深瞳漏洞实验室、深盾终端实验室及时对该类事件进行响应,发现国内大量主机遭受到了不定向的勒索攻击。通过排查发现该恶意事件为Tellyouthepass勒索家族利用了某友NC反序列化、某某通电子文档安全管理系统等多个高危漏洞上传webshell并执行勒索病毒。

针对出现的多起勒索攻击事件,深信服AF通过联动SAAS XDR,成功检测出黑客在后渗透阶段利用了冰蝎WebShell通信。虽然通信过程加密、行为隐蔽,但仍被AF+SAAS XDR成功联动检出,并且深信服EDR勒索防护AI引擎在终端侧成功拦截了多起勒索攻击事件,失陷外联检测引擎成功检测到webshell加密通信行为。


本月出现两大类tellyouthepass结合漏洞出现的勒索攻击:

1、针对NC的勒索攻击与去年12月在国内流行的勒索攻击基本一致,参考链接如下:

https://mp.weixin.qq.com/s/1-H_LDOeLQkxVP1TZsdEWA

2、本文主要针对结合高危漏洞实施的攻击进行详细分析

勒索家族介绍


一旦勒索软件完成对系统文件的加密的操作后,加密后的文件默认添加后缀名“.locked1”,勒索信文件名为“README2.html”,受害者可以通过唯一 ID 和邮箱与攻击者取得联系,赎金为 0.12btc。


README2.html 勒索信文件内容如下所示:



被加密后的文件系统如下所示:



Tellyouthepass历史活动事件合集


2020年7月借助永恒之蓝进行内网横向;

2021年12月借助OA软件的反序列化漏洞实施攻击;

2022年8月借助畅某某T+文件上传漏洞发动攻击;

2022年12月借助某友NC反序列化漏洞卷土重来,大量服务器已失陷;

2023年5月借助某友NC反序列化漏洞及某某通高危漏洞扩大攻击。

事件排查


XDR日志排查

通过AF接入SaaS XDR,云端检测到文件名为teccxaa.jsp的webshell执行成功,发现攻击IP:23.95.218.244



通过XDR日志发现,存在内网主机爆破,但是并未成功。



排查

通过查看排查,发现该IP为恶意。



智能运营平台排查

通过对该攻击者的源 IP 分析,在智能运营平台同时发现了10+以上的客户被攻击,均检出了 webshell 加密通信。基本确定该攻击团伙要针对制造业、科技类攻击进行无差别攻击



态势感知日志排查

根据webshell文件名过滤,发现有黑客攻击及后门通信记录。



根据攻击者 ip 过滤,发现黑客所利用的接口。云端专家通过对软件进行代码分析,发现存在一个高危漏洞,利用此漏洞可以执行任意代码,上传任意文件。在测试环境中完成该漏洞的复现,并报送监管单位。



安全人员分析及EDR产品联动

安全人员根据日志查看webshell路径,发现其位于在某某通站点根目录,随后安全人员对此进行分析,发现类型为jsp,并采用了AES+BASE64加密。




应急团队收到客户勒索应急求助,经 EDR 确认,进程为 tomcat8.exe,黑客为了绕过勒索诱饵的防护将勒索程序注入到 tomcat 白进程中进行加密,EDR 的勒索行为AI引擎可针对白进程注入勒索进行防护,该进程对应某某通站点。通过勒索信息内容和加密后缀,确认该勒索病毒为 tellyoutheapss 勒索病毒,暂时没有公开解密工具。



在受影响系统中同样在某某通根目录发现名称为teccxaa.jsp的webshell,推测该勒索病毒可能是通过该组件漏洞上传webshell,随后将勒索攻击模块注入到 tomcat8.exe 进程中执行加密操作。


为了最大化加密文件,避免文件被占用,确保不中断系统加密过程,该勒索软件在加密系统之前尝试终止特定的进程列表,这些进程大多属于数据库相关产品,需以防在加密文件的文件被如下进程所占用:


事件梳理与总结


通过事件排查发现,此次攻击事件主要利用 某某通高危上传webshell,注入白进程tomcat8.exe,随后直接执行勒索加密模块,并无勒索文件“落地”,建议联系厂商打上最新补丁防止类似情况发生。

从确定受害主机到执行加密操作时间间隔较短,且并无明显上传扫描、信息收集等黑客攻击的痕迹,因而猜测此次勒索事件并无敏感数据外发的迹象。

解决方案

处置建议


预防勒索攻击措施:

 1、避免打开可疑或来历不明的邮件中的链接和附件;

 2、进行定期备份,并将这些备份保存在离线状态或单独的网络中;

 3、安装知名的防病毒和 Internet 安全软件包。

当遭遇勒索攻击后:

1、对受感染设备进行断网;

2、断开外部存储设备(如果已连接);

3、检查系统日志中是否存在可疑事件。


本文作者:Further_eye

本文为安全脉搏专栏作者发布,转载请注明:https://www.secpulse.com/archives/200779.html

Tags:
评论  (0)
快来写下你的想法吧!

Further_eye

文章数:319 积分: 2105

深信服科技旗下安全实验室,致力于网络安全攻防技术的研究和积累,深度洞察未知网络安全威胁,解读前沿安全技术。

安全问答社区

安全问答社区

脉搏官方公众号

脉搏公众号