1.典型案例
本次案例參考去年3月期間TellYouThePass勒索病毒家族常用的攻擊手法�,關于該家族的病毒分析詳情可參考【病毒分析】locked勒索病毒分析����。
2.場景還原
2.1場景設置
在本次模擬攻擊場景中,攻擊者首先利用暢捷通CNVD-2022-60632文件上傳漏洞上傳Webshell��,實施勒索病毒加密,完成整個攻擊鏈的模擬�。
2.2攻擊路線圖
2.3攻擊復現(xiàn)
使用哥斯拉生成Webshell��。
因為暢捷通T+程序都使用了預編譯���,所以上傳的shell也需要先進行預編譯處理:
CMD執(zhí)行
C:\Windows\Microsoft.NET\Framework\v4.0.30319>aspnet_compiler.exe -v / -p C:\Users\Anonymous\Desktop\test C:\Users\Anonymous\Desktop\test1 -fixednames
C:\Users\Anonymous\Desktop\test 為webshell存在目錄
C:\Users\Anonymous\Desktop\test1 為編譯后文件生成目錄
構造CNVD-2022-66032數據包�����,將webshell上傳至網站根目錄:
之后將編譯好的文件上傳至暢捷通的bin目錄下��。
訪問/tplus/shell.aspx?preload=1成功觸發(fā)webshell�����。
可直接獲取system權限���。
3.漏洞詳情
3.1漏洞名稱
暢捷通任意文件上傳漏洞。
3.2漏洞類型
文件上傳漏洞��。
3.3漏洞描述
該漏洞發(fā)布于2022年8月����,未經身份認證的攻擊者利用該漏洞�,通過繞過系統(tǒng)鑒權����,在特定配置環(huán)境下實現(xiàn)任意文件的上傳,從而執(zhí)行任意代碼�,獲得服務器控制權限。目前����,已有用戶被不法分子利用該漏洞進行勒索病毒攻擊的情況出現(xiàn),常見利用該漏洞進行勒索的病毒家族有:mallox����、tellyouthepass等。
4.應急響應排查
4.1初始訪問
初始訪問使用過用友暢捷通文件上傳漏洞實現(xiàn)的���,威脅行為者主要通過CNVD-2022-60632完成入侵���,排查web日志發(fā)現(xiàn)存在大量的webshell連接行為:
在繼續(xù)排查過程中發(fā)現(xiàn)webshell為冰蝎木馬。
4.2釋放勒索病毒
之后上傳加密器完成數據加密操作��。
5.防范措施
一�����、輸入驗證與過濾
1.嚴格文件類型檢查
- 白名單機制:僅允許特定擴展名(如
.pdf, .docx, .jpg)上傳,拒絕其他類型���。 - MIME類型驗證:服務器端校驗文件的真實MIME類型(如PDF對應
application/pdf)��,而非依賴客戶端提交的類型�����。 - 文件頭檢查:通過讀取文件頭部字節(jié)(如PDF以
%PDF-開頭),防止偽造擴展名�����。
2.文件內容掃描
- 使用殺毒軟件(如ClamAV)掃描上傳文件�����,檢測惡意代碼��。
- 對圖片文件進行二次渲染(如ImageMagick處理)�����,避免嵌入惡意腳本�����。
3.限制文件大小
- 設置合理的上傳大小上限(如10MB),防止大文件攻擊或資源耗盡�����。
二�����、存儲與權限控制
1.隔離存儲路徑
- 將上傳文件存放在Web根目錄外的獨立目錄����,避免直接通過URL訪問。
- 示例:
/var/uploads/ 而非 /var/www/html/uploads/�。
2.重命名文件
- 生成隨機文件名(如UUID),避免攻擊者猜測路徑����。
- 移除文件擴展名或強制改為靜態(tài)類型(如
.txt)。
3.權限最小化
- 上傳目錄設置為不可執(zhí)行(Linux下
chmod 644)���,禁止腳本解析�����。 - 禁用目錄瀏覽功能���,防止攻擊者遍歷文件���。
三、服務器與配置加固
1.禁用危險MIME類型
- 在Web服務器(Nginx/Apache)中禁止解析高風險擴展名(如
.php, .jsp)�。
location ~* \.(php|jsp)$ {
deny all;
}
2.設置HTTP安全頭
- 添加
Content-Disposition: attachment強制下載,阻止瀏覽器直接渲染文件���。
3.更新與補丁管理
- 定期升級暢捷通系統(tǒng)及依賴框架(如Java Spring�����、PHP)����,修復已知漏洞。
四��、日志與監(jiān)控
1.記錄上傳行為
- 記錄上傳者的IP���、時間��、文件名���、類型等信息�,便于追溯攻擊來源���。
2.實時監(jiān)控異常
- 設置告警機制���,檢測高頻上傳、異常文件類型等行為���。
五����、其他防護手段
1.使用CDN或云存儲
- 將文件存儲至第三方服務(如阿里云OSS)��,通過其安全策略(如防盜鏈���、MIME校驗)降低風險��。
2.定期安全測試
- 進行滲透測試和代碼審計����,重點檢查文件上傳邏輯。
3.輸入驗證前端+后端雙重校驗
- 前端做初步過濾(如限制文件類型)���,但后端必須獨立驗證��,避免繞過����。
如果您想了解有關勒索病毒的最新發(fā)展情況��,或者需要獲取相關幫助�,請關注“solar專業(yè)應急響應團隊”。
閱讀原文:https://mp.weixin.qq.com/s/KL0GC-7RFPuTUsoEA804tg
該文章在 2025/4/17 15:08:34 編輯過
400 186 1886
