事件概述
8 月 29 日开始,绿盟科技 CERT 团队陆续接到多个客户反馈,其用友软件服务器遭受勒索病毒攻击,具体表现为文件后缀被加密为.locked,勒索信息文件 READ_ME.HTML 中包含了攻击者的邮箱(service@sunshinegirls.space)及 BTC 钱包地址。
遭受勒索攻击的服务器均安装了用友畅捷通 T + 软件,文件加密时间集中在 8 月 28 日 22:00 至 8 月 29 日凌晨期间,通过加密文件特征分析,确认此次勒索病毒为 TellYouThePass 变种,绿盟科技 CERT 前期已处置过多起该勒索家族针对用友系列漏洞的攻击事件。
查询勒索信息文件 READ_ME.HTML 中公布的 BTC 钱包地址(bc1q22xcf2667tjq9ug0fgsmxmfm2kmz32lwtn4m7v),截止目前该地址共收到两笔转账,包括一笔 0.2BTC 和一笔 0.1BTC。
后门分析
在被感染主机的用友畅捷通 T + 软件安装目录(如:D:\Chanjet\TPlusPro\WebSite\bin)下,发现了攻击者投递的后门文件 App_Web_load.aspx.cdcab7d2.dll,该文件为微软的 aspnet_compiler.exe 进行预编译而生成,经过反编译,可看到其源码内容。
经过分析后门文件源代码,确认其特征与冰蝎 3.0.5 的服务端代码一致,可通过冰蝎 Webshell 客户端进行连接。
漏洞利用
通过对后门文件及攻击链进行分析,确认攻击者利用了用友旗下畅捷通 T + 产品存在的任意文件上传 0day 漏洞,该漏洞允许未经身份认证的远程攻击者通过构造特定请求,可将恶意文件上传至目标系统,从而执行任意代码。
用友畅捷通 T + 是一款基于互联网的新型企业管理软件,功能模块包括:财务管理、采购管理、库存管理等。主要针对中小型工贸和商贸企业的财务业务一体化应用,融入了社交化、移动化、物联网、电子商务、互联网信息订阅等元素。
漏洞根源在于 Upload.aspx 文件存在认证缺陷,向该文件传递 preload 参数可直接绕过系统权限认证,从而实现任意文件上传,漏洞影响范围为畅捷通 T+ <= v17.0。
产品检测
绿盟科技远程安全评估系统(RSAS)、WEB 应用漏洞扫描系统 (WVSS)、综合威胁探针(UTS)与智能安全运营平台(ISOP)已具备对此次漏洞的扫描与监测能力,请有部署以上设备的用户升级至最新版本。
————————————————
原文作者:绿盟科技CERT
转自链接:/p/7fy78y571779135b
版权声明:著作权归作者所有。商业转载请联系作者获得授权,非商业转载请保留以上作者信息和原文链接。
