本环境是蛇矛实验室基于"火天网演攻防演训靶场"进行搭建,通过火天网演中的环境构建模块,可以灵活的对目标网络进行设计和配置,并且可以快速进行场景搭建和复现验证工作。
注:本次分析与测试均在靶场内完成,对现实无任何影响!
本文章仅对本次事件进行复现和分析,主要用于让用户看到影响效果及促进用户加快防御,请勿将技术进行非法用途,否则后果自负。
简述
8月29日,用友畅捷通T+软件服务器遭受勒索病毒攻击,具体表现为文件后缀被加密为.locked,勒索信息文件READ_ME.HTML中包含了攻击者的邮箱及BTC钱包地址,确认此次勒索病毒为TellYouThePass变种。然后通过攻击链进行分析,攻击者利用了用友旗下畅捷通T+产品存在的任意文件上传0day漏洞来释放和传播勒索病毒。
8月29日和8月30日,畅捷通公司紧急发布安全补丁修复了畅捷通T+软件任意文件上传漏洞。
8月30日,国家信息安全漏洞共享平台(CNVD)收录了畅捷通T+软件任意文件上传漏洞(CNVD-2022-60632)。
8月30日,蛇矛实验室率先通过逆向和代码审计确定了漏洞位置和漏洞成因,并率先进行了漏洞复现。
9月1日,蛇矛实验室针对本次畅捷通T+软件服务器勒索事件设计了复现场景。
9月2日,蛇矛实验室在“火天网境”靶场平台中成功搭建了复现环境,并完成了此次攻击事件的模拟复现(勒索仅做效果模拟)。希望广大使用用户加速修复。
漏洞影响的产品和版本
畅捷通T+单机版<=17.0且使用IIS10.0以下版本。
复现环境
漏洞软件:用友畅捷通T+12.3
勒索病毒:用lockbit2.0代替TellYouThePass
漏洞分析
查看三个Upload.aspx源代码,确定了出现问题的代码文件。
关键代码如下
文件上传漏洞
简单分析代码可知,这里存在两个漏洞,一个是文件上传,另一个是目录穿越。
先查看文件上传漏洞,上传文件的条件有两个:
1.文件大小要小于或等于204800
2.文件类型必须为image/jpeg、image/bmp、image/gif、image/pjpeg其中之一,通过burpsuit抓包,这样方便改包。
认证绕过漏洞
漏洞根源在于Upload.aspx文件存在认证缺陷,向该文件传递preload参数可直接绕过系统权限认证,从而实现任意文件上传。
目录穿越漏洞
靶场环境构建
C&C主机:文件接收服务器,接收勒索病毒的加密回传的文件。
操作机:操作机器,用来测试用友畅捷通T+,然后投放lockbit2.0勒索病毒。
用友畅捷通T+12.3:安装有用友畅捷通T+的对外服务主机
win7 主机:横向受害主机
路由器需要配置NAT对内网服务进行映射(靶场内仿真映射)
事件复现过程
制作后门
先使用冰蝎v4.0.5生成aspx马,然后对aspx进行预编译操作。预编译命令如下
aspnet_compiler -v -p C:UsersAdministratorDesktopin C:UsersAdministratorDesktopout预编译操作之前,将shell.aspx单独放在in文件夹里,准备好接收编译结果的out空文件夹。
预编译之后,out文件夹中出现编译结果。我们需要利用漏洞将shell.aspx上传到畅捷通的网站根目录;将binApp_Web_sxmc2z5t.dll、binshell.aspx.cdcab7d2.compiled上传到畅捷通的网站根目录的bin文件夹下。
上传后门
上传shell.aspx。响应200和网站title代表上传成功。
上传shell.aspx.cdcab7d2.compiled。响应200和网站title代表上传成功。
上传App_Web_sxmc2z5t.dll。响应200和网站title代表上传成功。
释放病毒
用冰蝎连接后门,连接成功。
查看whoami是system权限接下来在这台机器上释放lockbit2.0勒索病毒。
上传勒索病毒
释放和执行勒索病毒
勒索影响
对外服务主机被勒索
横向Win7主机被勒索
文件加密
勒索信
文件加密回传
C&C接收到stealbit传输的文件
漏洞处置建议(转自CNVD)
目前,畅捷通公司已紧急发布漏洞补丁修复该漏洞,建议受影响的单位和用户立即升级至最新版本:https://www.chanjetvip.com/product/goods
同时,请受漏洞影响的单位和用户立即按照以下步骤开展自查和修复工作:
1、用户自查步骤:
查询本地是否存在website/bin/load.aspx.cdcab7d2.compiled、 website/bin/App_Web_load.aspx.cdcab7d2.dll、tplus/Load.aspx文件,如存在说明已经中毒,须重装系统,并安装产品打补丁。
2、未中毒用户请:
1)更新最新产品补丁。
2)安装杀毒软件,并及时升级病毒库。
3)升级IIS和Nginx低版本至IIS10.0和Windows 2016。
4)本地安装客户需尽快确认备份文件是否完整,以及做了异地备份。云上客户请及时开启镜像功能。
5)未能及时更新补丁的用户,可联系畅捷通技术支持,采取删除文件等临时防范措施。
3、已中毒用户请:
1)检查服务器是否有做定期快照或备份,如有可通过快照或备份恢复数据。
2)联系畅捷通技术支持,确认是否具备从备份文件恢复数据的条件及操作方法。
如有技术问题,请联系畅捷通技术支持:4006600566-9
蛇矛实验室成立于2020年,致力于安全研究、攻防解决方案、靶场对标场景仿真复现及技战法设计与输出等相关方向。团队核心成员均由从事安全行业10余年经验的安全专家组成,团队目前成员涉及红蓝对抗、渗透测试、逆向破解、病毒分析、工控安全以及免杀等相关领域。
原文始发于微信公众号(蛇矛实验室):紧急推送-用友畅捷通T+软件服务器遭受勒索病毒攻击场景靶场复现
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论