【安全熱點】從暢捷通漏洞利用事件看勒索病毒如何防治

語言: CN / TW / HK

一、概述

近期不法分子利用流行企業辦公軟體暢捷通T+的任意檔案上傳漏洞(0day),上傳惡意檔案並投放勒索病毒,對使用者機器內的檔案進行加密,要求支付贖金0.2比特幣(約2.8萬元人民幣)。目前已有大量使用者中招,且該勒索無法解密。

本文主要通過對這一“漏洞利用 + 勒索病毒利用”的安全事件進行分析,希望給予讀者朋友專業的處置和防範建議。

二、漏洞利用

2022年8月29日和8月30日,暢捷通公司緊急釋出安全補丁修復了暢捷通T+軟體任意檔案上傳漏洞。未經身份認證的攻擊者利用該漏洞,通過繞過系統鑑權,在特定配置環境下實現任意檔案的上傳,從而執行任意程式碼,獲得伺服器控制權限。目前,已有使用者被不法分子利用該漏洞進行勒索病毒攻擊的情況出現。

漏洞影響範圍:

暢捷通T+: 17.000.000.0000--17.000.000.0101

暢捷通T+: 16.000.000.0000--16.000.000.0264

暢捷通T+: 15.000.000.0000--15.000.000.0311

暢捷通T+: 13.000.000.0000--13.000.001.0379

暢捷通T+: 12.000.000.0000--12.300.004.0005

造成漏洞的原因是Upload.aspx檔案對使用者上傳的內容驗證不足,攻擊者可構造惡意請求上傳惡意檔案,從而執行任意程式碼,控制伺服器。安全狗已對漏洞進行復現,具體利用細節暫不公開。

圖1

圖2

三、勒索攻擊事件分析

此次攻擊事件,利用了ASP.NET可載入本地DLL檔案的特性,提前將aspx頁面和bin檔案進行編譯,並利用任意檔案上傳漏洞將執行所需的三個檔案

(Load.aspx、load.aspx.cdcab7d2.compiled、App_Web_load.aspx.cdcab7d2.dll)上傳到伺服器。

在請求Load.aspx頁面時攜帶惡意載荷,通過load.aspx.cdcab7d2.compiled指向處理DLL:

圖3

App_Web_load.aspx.cdcab7d2.dll檔案指定解析目錄為:~/Load.aspx

圖4

當訪問Load.aspx時,觸發App_Web_load.aspx.cdcab7d2.dll中的__Render__control1函式,對請求內容進行提取並進行呼叫CreateDecryptor方法進行AES解密,隨後載入到記憶體執行:

圖5

本次攜帶的惡意載荷執行後對本地檔案進行加密(.locked字尾)

圖6

並附帶READ_ME.html,要求支付0.2btc到 bc1q22xcf2667tjq9ug0fgsmxmfm2kmz321wtn4m7v以還原檔案,還附加了郵箱:[email protected],方便聯絡指導:

圖7

四、響應措施與防護建議

1、響應措施

針對已中毒使用者:

  • 若剛發現勒索信彈出,緊急關閉電源,嘗試止損;再進入安全模式,刪除惡意程式檔案,可能會保留部分還未加密的資料。

  • 若資料已全部加密,往往需要基於已有的備份進行資料還原,否則資料無法恢復。

2、處置建議

針對未中毒使用者:

  • 保證系統安全更新已開啟,及時更新系統;

  • 更新到以下安全版本:

  • 17.000.000.0101

  • 16.000.000.0264

  • 15.000.000.0311

  • 13.000.001.0379

  • 12.300.004.0005

  • 安裝安全防護產品,並保持病毒庫為最新版本;

  • 本地安裝客戶需儘快確認備份檔案是否完整,及時備份資料,多地儲存(雲端、硬碟、備份主機);雲上客戶請及時開啟映象、快照功能;

  • 無法及時更新補丁的使用者,可聯絡暢捷通技術支援,採取刪除檔案等臨時防範措施。

五、總結

此次的勒索病毒事件與軟體供應鏈攻擊、網路與漏洞攻擊息息相關,它們資料中心伺服器所面臨的高頻的勒索病毒植入方式。此外,需要警惕的勒索病毒植入方式還包括:U 盤蠕蟲、網頁掛馬、軟體捆綁、釣魚郵件、通過僵屍網路分發、水坑攻擊等等。在遭遇勒索病毒攻擊後,企業損失的不僅僅是贖金,也可能陷入業務停頓、信譽損失、法律訴訟、人力和時間成本等困境。因此,相關使用者應該予以重視。安全狗團隊也將繼續推出專業的產品及服務,幫助使用者抵禦APT攻擊以及勒索病毒攻擊。

參考資料

https://www.cnvd.org.cn/webinfo/show/8056

https://service.chanjet.com/product/goods/goods-detail?id=53aaa40295d458e44f5d3ce5