紧急推送-用友畅捷通T+软件服务器遭受勒索病毒攻击场景靶场复现

admin 2022年9月3日01:41:50安全文章 安全新闻评论161 views2413字阅读8分2秒阅读模式


本环境是蛇矛实验室基于"火天网演攻防演训靶场"进行搭建,通过火天网演中的环境构建模块,可以灵活的对目标网络进行设计和配置,并且可以快速进行场景搭建和复现验证工作。

紧急推送-用友畅捷通T+软件服务器遭受勒索病毒攻击场景靶场复现



注:本次分析与测试均在靶场内完成,对现实无任何影响!

本文章仅对本次事件进行复现和分析,主要用于让用户看到影响效果及促进用户加快防御,请勿将技术进行非法用途,否则后果自负。



紧急推送-用友畅捷通T+软件服务器遭受勒索病毒攻击场景靶场复现

简述




8月29日,用友畅捷通T+软件服务器遭受勒索病毒攻击,具体表现为文件后缀被加密为.locked,勒索信息文件READ_ME.HTML中包含了攻击者的邮箱及BTC钱包地址,确认此次勒索病毒为TellYouThePass变种。然后通过攻击链进行分析,攻击者利用了用友旗下畅捷通T+产品存在的任意文件上传0day漏洞来释放和传播勒索病毒。

8月29日和8月30日,畅捷通公司紧急发布安全补丁修复了畅捷通T+软件任意文件上传漏洞。

8月30日,国家信息安全漏洞共享平台(CNVD)收录了畅捷通T+软件任意文件上传漏洞(CNVD-2022-60632)。

8月30日,蛇矛实验室率先通过逆向和代码审计确定了漏洞位置和漏洞成因,并率先进行了漏洞复现。

9月1日,蛇矛实验室针对本次畅捷通T+软件服务器勒索事件设计了复现场景。

9月2日,蛇矛实验室在“火天网境”靶场平台中成功搭建了复现环境,并完成了此次攻击事件的模拟复现(勒索仅做效果模拟)。希望广大使用用户加速修复。




紧急推送-用友畅捷通T+软件服务器遭受勒索病毒攻击场景靶场复现

漏洞影响的产品和版本

畅捷通T+单机版<=17.0且使用IIS10.0以下版本。

复现环境

漏洞软件:用友畅捷通T+12.3

勒索病毒:用lockbit2.0代替TellYouThePass


紧急推送-用友畅捷通T+软件服务器遭受勒索病毒攻击场景靶场复现



紧急推送-用友畅捷通T+软件服务器遭受勒索病毒攻击场景靶场复现

漏洞分析


查看三个Upload.aspx源代码,确定了出现问题的代码文件。


紧急推送-用友畅捷通T+软件服务器遭受勒索病毒攻击场景靶场复现


关键代码如下


紧急推送-用友畅捷通T+软件服务器遭受勒索病毒攻击场景靶场复现



文件上传漏洞

紧急推送-用友畅捷通T+软件服务器遭受勒索病毒攻击场景靶场复现




简单分析代码可知,这里存在两个漏洞,一个是文件上传,另一个是目录穿越。

先查看文件上传漏洞,上传文件的条件有两个:

1.文件大小要小于或等于204800

2.文件类型必须为image/jpeg、image/bmp、image/gif、image/pjpeg其中之一,通过burpsuit抓包,这样方便改包。


紧急推送-用友畅捷通T+软件服务器遭受勒索病毒攻击场景靶场复现


紧急推送-用友畅捷通T+软件服务器遭受勒索病毒攻击场景靶场复现


认证绕过漏洞

紧急推送-用友畅捷通T+软件服务器遭受勒索病毒攻击场景靶场复现



漏洞根源在于Upload.aspx文件存在认证缺陷,向该文件传递preload参数可直接绕过系统权限认证,从而实现任意文件上传。


紧急推送-用友畅捷通T+软件服务器遭受勒索病毒攻击场景靶场复现


目录穿越漏洞

紧急推送-用友畅捷通T+软件服务器遭受勒索病毒攻击场景靶场复现



紧急推送-用友畅捷通T+软件服务器遭受勒索病毒攻击场景靶场复现


紧急推送-用友畅捷通T+软件服务器遭受勒索病毒攻击场景靶场复现

靶场环境构建


C&C主机:文件接收服务器,接收勒索病毒的加密回传的文件。


操作机:操作机器,用来测试用友畅捷通T+,然后投放lockbit2.0勒索病毒。


用友畅捷通T+12.3:安装有用友畅捷通T+的对外服务主机


win7 主机:横向受害主机


路由器需要配置NAT对内网服务进行映射(靶场内仿真映射)


紧急推送-用友畅捷通T+软件服务器遭受勒索病毒攻击场景靶场复现


紧急推送-用友畅捷通T+软件服务器遭受勒索病毒攻击场景靶场复现

事件复现过程



制作后门

紧急推送-用友畅捷通T+软件服务器遭受勒索病毒攻击场景靶场复现



先使用冰蝎v4.0.5生成aspx马,然后对aspx进行预编译操作。预编译命令如下


aspnet_compiler -v  -p C:UsersAdministratorDesktopin C:UsersAdministratorDesktopout


预编译操作之前,将shell.aspx单独放在in文件夹里,准备好接收编译结果的out空文件夹。


紧急推送-用友畅捷通T+软件服务器遭受勒索病毒攻击场景靶场复现


预编译之后,out文件夹中出现编译结果。我们需要利用漏洞将shell.aspx上传到畅捷通的网站根目录;将binApp_Web_sxmc2z5t.dll、binshell.aspx.cdcab7d2.compiled上传到畅捷通的网站根目录的bin文件夹下。


紧急推送-用友畅捷通T+软件服务器遭受勒索病毒攻击场景靶场复现


紧急推送-用友畅捷通T+软件服务器遭受勒索病毒攻击场景靶场复现



上传后门

紧急推送-用友畅捷通T+软件服务器遭受勒索病毒攻击场景靶场复现



上传shell.aspx。响应200和网站title代表上传成功。


紧急推送-用友畅捷通T+软件服务器遭受勒索病毒攻击场景靶场复现


上传shell.aspx.cdcab7d2.compiled。响应200和网站title代表上传成功。


紧急推送-用友畅捷通T+软件服务器遭受勒索病毒攻击场景靶场复现


上传App_Web_sxmc2z5t.dll。响应200和网站title代表上传成功。


紧急推送-用友畅捷通T+软件服务器遭受勒索病毒攻击场景靶场复现



释放病毒

紧急推送-用友畅捷通T+软件服务器遭受勒索病毒攻击场景靶场复现



用冰蝎连接后门,连接成功。


紧急推送-用友畅捷通T+软件服务器遭受勒索病毒攻击场景靶场复现


查看whoami是system权限接下来在这台机器上释放lockbit2.0勒索病毒。


紧急推送-用友畅捷通T+软件服务器遭受勒索病毒攻击场景靶场复现


上传勒索病毒


紧急推送-用友畅捷通T+软件服务器遭受勒索病毒攻击场景靶场复现


释放和执行勒索病毒


紧急推送-用友畅捷通T+软件服务器遭受勒索病毒攻击场景靶场复现



勒索影响

紧急推送-用友畅捷通T+软件服务器遭受勒索病毒攻击场景靶场复现




对外服务主机被勒索


紧急推送-用友畅捷通T+软件服务器遭受勒索病毒攻击场景靶场复现


紧急推送-用友畅捷通T+软件服务器遭受勒索病毒攻击场景靶场复现



横向Win7主机被勒索

紧急推送-用友畅捷通T+软件服务器遭受勒索病毒攻击场景靶场复现




紧急推送-用友畅捷通T+软件服务器遭受勒索病毒攻击场景靶场复现


紧急推送-用友畅捷通T+软件服务器遭受勒索病毒攻击场景靶场复现


文件加密

紧急推送-用友畅捷通T+软件服务器遭受勒索病毒攻击场景靶场复现



紧急推送-用友畅捷通T+软件服务器遭受勒索病毒攻击场景靶场复现


勒索信

紧急推送-用友畅捷通T+软件服务器遭受勒索病毒攻击场景靶场复现



紧急推送-用友畅捷通T+软件服务器遭受勒索病毒攻击场景靶场复现


文件加密回传

紧急推送-用友畅捷通T+软件服务器遭受勒索病毒攻击场景靶场复现



C&C接收到stealbit传输的文件


紧急推送-用友畅捷通T+软件服务器遭受勒索病毒攻击场景靶场复现


紧急推送-用友畅捷通T+软件服务器遭受勒索病毒攻击场景靶场复现

漏洞处置建议(转自CNVD)




目前,畅捷通公司已紧急发布漏洞补丁修复该漏洞,建议受影响的单位和用户立即升级至最新版本:https://www.chanjetvip.com/product/goods

 同时,请受漏洞影响的单位和用户立即按照以下步骤开展自查和修复工作:

    1、用户自查步骤:

    查询本地是否存在website/bin/load.aspx.cdcab7d2.compiled、      website/bin/App_Web_load.aspx.cdcab7d2.dll、tplus/Load.aspx文件,如存在说明已经中毒,须重装系统,并安装产品打补丁。

    2、未中毒用户请:

    1)更新最新产品补丁。

    2)安装杀毒软件,并及时升级病毒库。

    3)升级IIS和Nginx低版本至IIS10.0和Windows 2016。

    4)本地安装客户需尽快确认备份文件是否完整,以及做了异地备份。云上客户请及时开启镜像功能。

    5)未能及时更新补丁的用户,可联系畅捷通技术支持,采取删除文件等临时防范措施。

    3、已中毒用户请:

    1)检查服务器是否有做定期快照或备份,如有可通过快照或备份恢复数据。

    2)联系畅捷通技术支持,确认是否具备从备份文件恢复数据的条件及操作方法。

    如有技术问题,请联系畅捷通技术支持:4006600566-9





蛇矛实验室成立于2020年,致力于安全研究、攻防解决方案、靶场对标场景仿真复现及技战法设计与输出等相关方向。团队核心成员均由从事安全行业10余年经验的安全专家组成,团队目前成员涉及红蓝对抗、渗透测试、逆向破解、病毒分析、工控安全以及免杀等相关领域。

紧急推送-用友畅捷通T+软件服务器遭受勒索病毒攻击场景靶场复现


原文始发于微信公众号(蛇矛实验室):紧急推送-用友畅捷通T+软件服务器遭受勒索病毒攻击场景靶场复现

特别标注: 本站(CN-SEC.COM)所有文章仅供技术研究,若将其信息做其他用途,由用户承担全部法律及连带责任,本站不承担任何法律及连带责任,请遵守中华人民共和国安全法.
  • 我的微信
  • 微信扫一扫
  • weinxin
  • 我的微信公众号
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2022年9月3日01:41:50
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                  紧急推送-用友畅捷通T+软件服务器遭受勒索病毒攻击场景靶场复现 http://cn-sec.com/archives/1273067.html

发表评论

匿名网友 填写信息

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: