近期不法分子利用流行企业办公软件畅捷通T+的任意文件上传漏洞(0day),上传恶意文件并投放勒索病毒,对用户机器内的文件进行加密,要求支付赎金0.2比特币(约2.8万元人民币)。目前已有大量用户中招,且该勒索无法解密。
本文主要通过对这一“漏洞利用 + 勒索病毒利用”的安全事件进行分析,希望给予读者朋友专业的处置和防范建议。
2022年8月29日和8月30日,畅捷通公司紧急发布安全补丁修复了畅捷通T+软件任意文件上传漏洞。未经身份认证的攻击者利用该漏洞,通过绕过系统鉴权,在特定配置环境下实现任意文件的上传,从而执行任意代码,获得服务器控制权限。目前,已有用户被不法分子利用该漏洞进行勒索病毒攻击的情况出现。
漏洞影响范围:
畅捷通T+: 17.000.000.0000--17.000.000.0101
畅捷通T+: 16.000.000.0000--16.000.000.0264
畅捷通T+: 15.000.000.0000--15.000.000.0311
畅捷通T+: 13.000.000.0000--13.000.001.0379
畅捷通T+: 12.000.000.0000--12.300.004.0005
造成漏洞的原因是Upload.aspx文件对用户上传的内容验证不足,攻击者可构造恶意请求上传恶意文件,从而执行任意代码,控制服务器。安全狗已对漏洞进行复现,具体利用细节暂不公开。
图1
图2
此次攻击事件,利用了ASP.NET可加载本地DLL文件的特性,提前将aspx页面和bin文件进行编译,并利用任意文件上传漏洞将执行所需的三个文件
(Load.aspx、load.aspx.cdcab7d2.compiled、App_Web_load.aspx.cdcab7d2.dll)上传到服务器。
在请求Load.aspx页面时携带恶意载荷,通过load.aspx.cdcab7d2.compiled指向处理DLL:
图3
App_Web_load.aspx.cdcab7d2.dll文件指定解析目录为:~/Load.aspx
图4
当访问Load.aspx时,触发App_Web_load.aspx.cdcab7d2.dll中的__Render__control1函数,对请求内容进行提取并进行调用CreateDecryptor方法进行AES解密,随后加载到内存执行:
图5
本次携带的恶意载荷执行后对本地文件进行加密(.locked后缀)
图6
并附带READ_ME.html,要求支付0.2btc到 bc1q22xcf2667tjq9ug0fgsmxmfm2kmz321wtn4m7v以还原文件,还附加了邮箱:[email protected],方便联系指导:
图7
四、响应措施与防护建议
1、响应措施
针对已中毒用户:
若刚发现勒索信弹出,紧急关闭电源,尝试止损;再进入安全模式,删除恶意程序文件,可能会保留部分还未加密的数据。
若数据已全部加密,往往需要基于已有的备份进行数据还原,否则数据无法恢复。
2、处置建议
针对未中毒用户:
保证系统安全更新已打开,及时更新系统;
更新到以下安全版本:
17.000.000.0101
16.000.000.0264
15.000.000.0311
13.000.001.0379
12.300.004.0005
安装安全防护产品,并保持病毒库为最新版本;
本地安装客户需尽快确认备份文件是否完整,及时备份数据,多地存储(云端、硬盘、备份主机);云上客户请及时开启镜像、快照功能;
无法及时更新补丁的用户,可联系畅捷通技术支持,采取删除文件等临时防范措施。
五、总结
此次的勒索病毒事件与软件供应链攻击、网络与漏洞攻击息息相关,它们数据中心服务器所面临的高频的勒索病毒植入方式。此外,需要警惕的勒索病毒植入方式还包括:U 盘蠕虫、网页挂马、软件捆绑、钓鱼邮件、通过僵尸网络分发、水坑攻击等等。在遭遇勒索病毒攻击后,企业损失的不仅仅是赎金,也可能陷入业务停顿、信誉损失、法律诉讼、人力和时间成本等困境。因此,相关用户应该予以重视。安全狗团队也将继续推出专业的产品及服务,帮助用户抵御APT攻击以及勒索病毒攻击。
参考资料
https://www.cnvd.org.cn/webinfo/show/8056
https://service.chanjet.com/product/goods/goods-detail?id=53aaa40295d458e44f5d3ce5
如若转载,请注明原文地址