近期不法分子利用流行企业办公软件畅捷通T+的任意文件上传漏洞（0day），上传恶意文件并投放勒索病毒，对用户机器内的文件进行加密，要求支付赎金0.2比特币（约2.8万元人民币）。目前已有大量用户中招，且该勒索无法解密。

本文主要通过对这一“漏洞利用 + 勒索病毒利用”的安全事件进行分析，希望给予读者朋友专业的处置和防范建议。

2022年8月29日和8月30日，畅捷通公司紧急发布安全补丁修复了畅捷通T+软件任意文件上传漏洞。未经身份认证的攻击者利用该漏洞，通过绕过系统鉴权，在特定配置环境下实现任意文件的上传，从而执行任意代码，获得服务器控制权限。目前，已有用户被不法分子利用该漏洞进行勒索病毒攻击的情况出现。

漏洞影响范围：

造成漏洞的原因是Upload.aspx文件对用户上传的内容验证不足，攻击者可构造恶意请求上传恶意文件，从而执行任意代码，控制服务器。安全狗已对漏洞进行复现，具体利用细节暂不公开。

图1

图2

此次攻击事件，利用了ASP.NET可加载本地DLL文件的特性，提前将aspx页面和bin文件进行编译，并利用任意文件上传漏洞将执行所需的三个文件

（Load.aspx、load.aspx.cdcab7d2.compiled、App_Web_load.aspx.cdcab7d2.dll）上传到服务器。

在请求Load.aspx页面时携带恶意载荷，通过load.aspx.cdcab7d2.compiled指向处理DLL：

图3

App_Web_load.aspx.cdcab7d2.dll文件指定解析目录为：~/Load.aspx

图4

当访问Load.aspx时，触发App_Web_load.aspx.cdcab7d2.dll中的__Render__control1函数，对请求内容进行提取并进行调用CreateDecryptor方法进行AES解密，随后加载到内存执行：

图5

本次携带的恶意载荷执行后对本地文件进行加密（.locked后缀）

图6

并附带READ_ME.html，要求支付0.2btc到 bc1q22xcf2667tjq9ug0fgsmxmfm2kmz321wtn4m7v以还原文件，还附加了邮箱：[email protected]，方便联系指导：

图7

针对已中毒用户：

针对未中毒用户：

云眼采用Gartner提出的CWPP理念，提出了以工作负载为中心，以自动化、细粒度资产采集为基础，提供多种风险排查和漏洞发现手段，依托反杀伤链和实时入侵检测响应能力支撑企业安全防护二道防线，解决现代混合云、多云数据中心基础架构中服务器工作负载的安全需求，最终达到对已知威胁的自动响应以及对潜在威胁的检测识别。

云眼准确识别漏洞

图8

云眼的后门监测功能准确识别恶意病毒

图9

云御是一款新一代混合式Web防火墙产品，通过网络层过滤和主机应用层自保护（RASP）相结合的技术，既能够过滤传统常见的攻击又可以对异常变形和未知漏洞的高级攻击进行识别，达到双层纵深防御的效果。

经过测试，在未增补规则情况下，本次勒索事件文件上传payload均可拦截。

图10

云隙是基于CWPP技术方案的自适应微隔离系统，为企业提供对数据中心、云环境主机制可视化管理，可根据可视化的业务拓扑，对主机进行全方位的防护策略管理，控制业务流量访问。通过东西向的微隔离收敛攻击面，可及时发现异常访问行为，防止勒索病毒的横向传播。

图11

此次的勒索病毒事件与软件供应链攻击、网络与漏洞攻击息息相关，它们数据中心服务器所面临的高频的勒索病毒植入方式。此外，需要警惕的勒索病毒植入方式还包括：U 盘蠕虫、网页挂马、软件捆绑、钓鱼邮件、通过僵尸网络分发、水坑攻击等等。在遭遇勒索病毒攻击后，企业损失的不仅仅是赎金，也可能陷入业务停顿、信誉损失、法律诉讼、人力和时间成本等困境。因此，相关用户应该予以重视。安全狗团队也将继续推出专业的产品及服务，帮助用户抵御APT攻击以及勒索病毒攻击。

参考资料

https://www.cnvd.org.cn/webinfo/show/8056

https://service.chanjet.com/product/goods/goods-detail?id=53aaa40295d458e44f5d3ce5

你可能需要

免费获取《云原生安全威胁分析报告》

OA漏洞频出？免费领用此方案，攻防更安心！

冰蝎来袭？安全狗产品可全面检出！