1.典型案例
本次案例參考去年3月期間TellYouThePass勒索病毒家族常用的攻擊手法,關(guān)于該家族的病毒分析詳情可參考【病毒分析】locked勒索病毒分析���。
2.場景還原
2.1場景設(shè)置
在本次模擬攻擊場景中��,攻擊者首先利用暢捷通CNVD-2022-60632文件上傳漏洞上傳Webshell,實施勒索病毒加密�����,完成整個攻擊鏈的模擬�����。
2.2攻擊路線圖
2.3攻擊復(fù)現(xiàn)
使用哥斯拉生成Webshell���。
因為暢捷通T+程序都使用了預(yù)編譯�,所以上傳的shell也需要先進行預(yù)編譯處理:
CMD執(zhí)行
C:\Windows\Microsoft.NET\Framework\v4.0.30319>aspnet_compiler.exe -v / -p C:\Users\Anonymous\Desktop\test C:\Users\Anonymous\Desktop\test1 -fixednames
C:\Users\Anonymous\Desktop\test 為webshell存在目錄
C:\Users\Anonymous\Desktop\test1 為編譯后文件生成目錄
構(gòu)造CNVD-2022-66032數(shù)據(jù)包���,將webshell上傳至網(wǎng)站根目錄:
之后將編譯好的文件上傳至暢捷通的bin目錄下����。
訪問/tplus/shell.aspx?preload=1成功觸發(fā)webshell。
可直接獲取system權(quán)限�����。
3.漏洞詳情
3.1漏洞名稱
暢捷通任意文件上傳漏洞�。
3.2漏洞類型
文件上傳漏洞。
3.3漏洞描述
該漏洞發(fā)布于2022年8月�����,未經(jīng)身份認證的攻擊者利用該漏洞,通過繞過系統(tǒng)鑒權(quán),在特定配置環(huán)境下實現(xiàn)任意文件的上傳�����,從而執(zhí)行任意代碼,獲得服務(wù)器控制權(quán)限����。目前,已有用戶被不法分子利用該漏洞進行勒索病毒攻擊的情況出現(xiàn)�����,常見利用該漏洞進行勒索的病毒家族有:mallox��、tellyouthepass等�。
4.應(yīng)急響應(yīng)排查
4.1初始訪問
初始訪問使用過用友暢捷通文件上傳漏洞實現(xiàn)的��,威脅行為者主要通過CNVD-2022-60632完成入侵��,排查web日志發(fā)現(xiàn)存在大量的webshell連接行為:
在繼續(xù)排查過程中發(fā)現(xiàn)webshell為冰蝎木馬���。
4.2釋放勒索病毒
之后上傳加密器完成數(shù)據(jù)加密操作�。
5.防范措施
一、輸入驗證與過濾
1.嚴格文件類型檢查
- 白名單機制:僅允許特定擴展名(如
.pdf, .docx, .jpg)上傳����,拒絕其他類型��。 - MIME類型驗證:服務(wù)器端校驗文件的真實MIME類型(如PDF對應(yīng)
application/pdf)�����,而非依賴客戶端提交的類型����。 - 文件頭檢查:通過讀取文件頭部字節(jié)(如PDF以
%PDF-開頭),防止偽造擴展名���。
2.文件內(nèi)容掃描
- 使用殺毒軟件(如ClamAV)掃描上傳文件����,檢測惡意代碼����。
- 對圖片文件進行二次渲染(如ImageMagick處理),避免嵌入惡意腳本��。
3.限制文件大小
- 設(shè)置合理的上傳大小上限(如10MB),防止大文件攻擊或資源耗盡��。
二�����、存儲與權(quán)限控制
1.隔離存儲路徑
- 將上傳文件存放在Web根目錄外的獨立目錄���,避免直接通過URL訪問����。
- 示例:
/var/uploads/ 而非 /var/www/html/uploads/����。
2.重命名文件
- 生成隨機文件名(如UUID),避免攻擊者猜測路徑�����。
- 移除文件擴展名或強制改為靜態(tài)類型(如
.txt)�。
3.權(quán)限最小化
- 上傳目錄設(shè)置為不可執(zhí)行(Linux下
chmod 644),禁止腳本解析��。 - 禁用目錄瀏覽功能�,防止攻擊者遍歷文件�����。
三�、服務(wù)器與配置加固
1.禁用危險MIME類型
- 在Web服務(wù)器(Nginx/Apache)中禁止解析高風險擴展名(如
.php, .jsp)�。
location ~* \.(php|jsp)$ {
deny all;
}
2.設(shè)置HTTP安全頭
- 添加
Content-Disposition: attachment強制下載�,阻止瀏覽器直接渲染文件��。 - 使用CSP(內(nèi)容安全策略)限制資源加載���。
3.更新與補丁管理
- 定期升級暢捷通系統(tǒng)及依賴框架(如Java Spring、PHP)�,修復(fù)已知漏洞�。
四���、日志與監(jiān)控
1.記錄上傳行為
- 記錄上傳者的IP��、時間����、文件名���、類型等信息,便于追溯攻擊來源�����。
2.實時監(jiān)控異常
- 設(shè)置告警機制����,檢測高頻上傳�����、異常文件類型等行為。
五、其他防護手段
1.使用CDN或云存儲
- 將文件存儲至第三方服務(wù)(如阿里云OSS)����,通過其安全策略(如防盜鏈����、MIME校驗)降低風險��。
2.定期安全測試
- 進行滲透測試和代碼審計,重點檢查文件上傳邏輯����。
3.輸入驗證前端+后端雙重校驗
- 前端做初步過濾(如限制文件類型)���,但后端必須獨立驗證,避免繞過��。
如果您想了解有關(guān)勒索病毒的最新發(fā)展情況����,或者需要獲取相關(guān)幫助�,請關(guān)注“solar專業(yè)應(yīng)急響應(yīng)團隊”。
閱讀原文:https://mp.weixin.qq.com/s/KL0GC-7RFPuTUsoEA804tg
該文章在 2025/4/17 15:08:34 編輯過
400 186 1886
