事件公告
漏洞概述
| 受影响的平台 | 受影响版本号 |
| iVMS-8700 | V2.0.0 - V2.9.2 |
| iSecure Center | V1.0.0 - V1.7.0 |
事件分析
TellYouThePass勒索病毒是一款非Raas的勒索病毒,最早在国内出现于2020年7月。早期时,该勒索病毒使用永恒之蓝漏洞进行传播,直至2021年,该病毒开始使用Apache Log4j2远程代码执行漏洞进行传播。除此之外,我们还观察到,该勒索病毒也使用暴力破解及其他业务系统漏洞等初始化访问方式进行攻击。
近日安恒信息CERT监测到,该勒索病毒再次利用海康威视综合安防管理平台漏洞进行攻击。本次勒索病毒执行加密的文件后缀为locked1,由于使用了RSA+AES的方式进行加密,暂时无法解密。
被加密文件
勒索信README2.html
针对某一起事件排查发现攻击者只加密了与海康威视平台相关的目录,找到疑似webshell目录路径:
/opt/hikvision/web/components/tomcat85linux64.1/webapps/els/static/。
自查方法
目前已知的webshell路径如下:
路径1:
/opt/hikvision/web/components/tomcat85linux64.1/webapps/els/static/
路径2:
/opt/opsmgr/web/components/tomcat85linux64.1/webapps/els/static/
IOC
|
18.163.86.145 |
|
107.172.3.18 |
|
175.11.217.77 |
|
103.150.10.15 |
|
103.150.10.22 |
|
202.79.174.131 |
|
222.95.252.26 |
|
154.8.156.199 |
|
119.188.125.43 |
|
192.210.241.111 |
|
124.220.206.244 |
|
36.143.65.233 |
|
106.75.130.209 |
|
8.217.28.154 |
|
1K25DjGJuqpK3cgKW15WmHXahuvAfUomVU |
|
1MoP3ngmVFLnwSGjfL7CUfir51zdGFoven |
|
bc1ql8an5slxutu3yjyu9rvhsfcpv29tsfhv3j9lr4 |
安全建议
1、检查是否存在海康威视综合安防管理平台,并根据上述官方漏洞通告,及时更新平台版本修复漏洞。
2、关闭海康威视综合安防管理平台公网映射。
3、该产品历史上还存在多个漏洞且在互联网公开,建议客户识别并且修复历史漏洞,避免因其他历史漏洞再次被攻击。
4、针对勒索事件,重要数据异地安全备份是在安全事件发生后的有效恢复手段,也需要在演练中尝试已经备份的数据,从而保证备份数据有效性。
5、在网络层面部署流量分析设备 APT 以及大型内网中架设态势感知威胁预警平台。
安恒信息CERT
2023年11月
原文始发于微信公众号(安恒信息CERT):关于TellYouThePass勒索事件风险提示
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论