勒索病毒日益猖獗,攻击范围日渐广泛,一旦感染会给用户带来无法估量的巨额损失。勒索病毒重点在于防,华为安全事件快速处置闭环团队秉承“安全需防患于未然”的安全理念,致力于网络空间的安全治理。针对近期某厂商爆出远程命令执行漏洞导致客户被勒索的事件,华为安全事件快速处置闭环团队第一时间对攻击进行响应处置,目前已完成IPS、文件检测规则库更新,产品升级最新规则库后,华为安全网关类产品、态势感知HiSec Insight产品、乾坤安全云服务支持对该事件中的漏洞攻击、病毒文件进行查杀。
2022年8月29日,华为安全事件快速处置闭环团队陆续接到多个客户反馈,其使用某流行企业财务软件的服务器受勒索病毒攻击,使用该软件的服务器被攻击后,计算机内的各类文件被加上.locked后缀,无法正常打开使用,需支付赎金0.2比特币(约2.8万元人民币)。这一勒索行为,不仅给客户造成了财产损失,也导致对应系统停摆,严重影响业务。
经华为安全事件快速处置闭环团队分析发现,造成该事件的原因是该软件存在一个任意文件上传漏洞,攻击者可以通过POST方式上传任意文件,经测验,版本低于17.0的软件均受此影响。
xxx 远程代码执行漏洞
根据此漏洞,黑客的攻击路径为:
1、上传文件挂载后门
攻击者通过上述漏洞,上传三个恶意文件load.aspx.cdcab7d2.compiled、AppWebload.aspx.cdcab7d2.dll、Load.aspx挂载后门。
2、通过后门执行恶意加密代码
该软件使用了.Net预编译技术(即Web站点中的页面均被编译为DLL文件,提升站点效率,同时一定程度上防止他人篡改而导致系统的崩溃),上传三个文件后,黑客可以通过访问后门模块(Load.aspx)来执行任意恶意模块(恶意代码数据被AES算法加密),恶意代码通过Assembly.Load从内存中加载。
为了绕过安全设备探测,攻击者对恶意代码进行加密
3、执行勒索
攻击者通过后门传送加密代码形式的勒索病毒,并在内存中加载执行进行攻击,最终导致用户的数据文件被加密。
1、及时下载并安装官方发布补丁
核查所使用的产品是否存在此安全漏洞,针对受影响的版本,及时从软件所在厂商的官网下载并安装安全补丁。
如为公有云服务运营单位,同步开展云上用户排查,主动提醒用户安装补丁,以加固系统。
2、恢复勒索数据
针对已中勒索用户,目前暂未发现公开渠道解密数据的方法,建议用户寻找数据恢复专业人员,确认是否有备份恢复手段。
3、部署华为解决方案
针对上述客户勒索事件,华为安全事件快速处置闭环团队第一时间对攻击进行响应处置,目前已完成IPS、文件检测规则库更新。华为安全网关类产品、态势感知HiSec Insight、乾坤安全云服务更新规则库后,支持对该事件中的漏洞攻击、病毒文件进行查杀。
华为IPS规则库
华为防火墙针对该漏洞的防护效果如下所示。
华为防火墙针对该漏洞的防护效果
华为态势感知HiSec Insight针对该漏洞的防护效果如下所示。
华为态势感知HiSec Insight针对该漏洞的防护效果
原文始发于微信公众号(华为安全):未然公告丨某流行企业财务软件用户被批量勒索事件分析
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论