Tellyouthepass卷土重来，大量服务器已失陷

近日，深信服深盾终端实验室收到的多家单位勒索应急求助，从12 月 12 日左右开始，国内主机遭受到不定向勒索攻击，经排查发现，疑似 Tellyouthepass 勒索家族利用某远OA、某友NC反序列化等多个漏洞上传webshell并执行勒索攻击。

一旦勒索软件完成对系统的加密后，加密后的文件默认添加后缀名“.locked1”，提示信息文件名为“README1.html”，内容如下。受害者可以通过唯一 ID 和邮箱与攻击者取得联系，赎金为 0.12btc。

README1.html 文件内容

被加密后的文件名

对加密后的 NC 服务器 172.18.A.B 排查

NC 服务器 172.18.A.B 上的文件被疑似 Tellyouthepass 勒索家族加密，通过加密时释放的公钥文件 hello1.txt 创建时间判定，勒索软件执行的时间大概在 2022/12/12 16:16：

通过 XDR 平台查看 172.18.A.B 的攻击日志发现：12 日 16 点 06 分开始，74.119.193.11 主机发起多个漏洞扫描利用操作并试图向 172.18.A.B 上传 webshell：

通过查看 NC 的报错日志可以看到 NC 有个 rmi 的异常报错，发起攻击 IP 为 74.119.193.11，说明该恶意 IP 的漏扫到达了 NC 端并且 NC 做出来相应的回馈，这是一个异常点。

通过查看深信服威胁情报中心发现 74.119.193.11 为恶意的 IP，并且带有漏洞利用、Web 攻击的标签：

服务扫描

扫描 80 端口

扫描 81 端口

扫描 84 端口

扫描 443 端口

扫描 8000 端口

扫描 8080 端口

扫描 8081 端口

扫描 8088 端口

扫描 8090 端口

爆破 CONFLUENCE

爆破 OA-YY

爆破 GUOJI  

漏洞利用

某远 OA ajax-do 文件上传

Web 权限绕过攻击

某远 OA 权限绕过

Webshell 通讯

某友NC反序列化攻击

上传Webshell

某友 NC  文件上传漏洞

某友 NC 远程代码执行文件上传攻击

Java代码注入攻击

ConfluenceOGNL 表达式注入

某友 GRP—U8 财务管理漏洞

某远 OA 前台文件上传漏洞路径穿越攻击

在排查其它受攻击客户的过程中，也发现了该IP存在的迹象，表明此次攻击属于同源攻击。该恶意 IP 会上传名为“kissme.jsp”的 webshell 文件，这个 webshell 在 172.18.A.B 主机上的 nc_web 目录下找到：

猜测该 webshell 可能是黑客用于测试漏洞所用，webshell 内容如下：

文件上传的攻击路径为 /ServiceDispatcherServlet，该路径为某友 NC反序列化漏洞路径：

最后将勒索攻击模块注入到 java 进程中执行加密操作。执行勒索的进程主体是 java.exe，该进程属于正常的业务进程，可以确定黑客是将勒索病毒直接载入到了内存中，实现无文件加载。

为了最大化加密文件，避免文件被占用，确保在系统加密过程中不中断加密过程，该勒索软件在加密系统之前尝试终止特定的进程列表，这些进程大多属于数据库相关产品，以防在加密文件的文件被如下进程所占用。

通过事件排查发现，此次攻击事件主要利用 NC 反序列化漏洞上传webshell，注入内存马，随后直接执行勒索加密模块，并无勒索文件“落地”。由于勒索模块在java进程中存在所以不排除是通过内存马执行了勒索shellcode的可能。

从确定受害主机到执行加密操作时间间隔较短，且并无明显上传扫描、信息收集等黑客攻击的痕迹，因而猜测此次勒索事件并无横向及敏感数据外发的迹象。

通过对勒索加密后的系统分析，该勒索软件功能较少，无明显删除卷影、副本、回收站等阻止系统恢复的痕迹，无清空系统日志、计划任务、命令等行为，但是终止了大量与数据库相关的进程，猜测此次攻击目标仅仅是加密文件，并无其它多余操作。

根据外部情报收集的情况来看，本次恶意勒索事件主要针对国内使用并未修补漏洞的某友NC、某远OA的用户，并无存在内网敏感信息收集与外泄、横向等操作，建议联系厂商打上最新补丁防止类似情况发生。此次勒索事件与今年8月在国内流行的勒索攻击极为相似，参考链接如下：

https://mp.weixin.qq.com/s/qEX2Bm8lhU6LuPXEf1-2XA

恶意域名：

1. 74.119.193.11

漏洞接口：

1. POST /ServiceDispatcherServlet  

2. POST /service/monitorservlet   

3. POST /servlet/~ufofr/DeleteServlet 

存留后门：

1.kissme.jsp  

2.wrxlnfnoazfu.jsp  

3.whhtuopkimpb.jsp  

4.xuepmqcfwtjx.jsp

1.避免将重要服务在外网开放，若一定要开放，需增加口令复杂度，避免使用弱口令。

2.避免打开可疑或来历不明的邮件，尤其是其中的链接和附件等，如一定要打开未知文件，请先使用杀毒软件进行扫描。

3.安装信誉良好的防病毒/反间谍软件，定期进行系统全盘扫描，并删除检测到的威胁，按时升级打补丁。

4.使用官方和经过验证的下载渠道，使用正版开发人员提供的工具/功能激活和更新产品，不建议使用非法激活工具和第三方下载器，因为它们通常用于分发恶意内容。

5.重要的数据最好双机备份或云备份。

【深信服终端安全管理系统EDR】基于勒索病毒入侵攻击链提供4层勒索入侵预防，6级勒索反加密防护，5项勒索检测与响应机制，从事前防御-事中响应-事后溯源三个方面为终端构建全面的勒索防护体系。建议检查EDR策略配置，保证Webshell检测功能处于开启状态， 相应的web目录在监控范围。

【深信服勒索理赔服务】深信服与专业保险机构联合推出针对勒索病毒的理赔服务，为客户快速解决勒索赎金损失，尽快恢复数据和业务，降低勒索的影响和业务。

【深信服下一代防火墙AF】1、防火墙升级到以下指定版本老架构：AF8.0.42、AF8.0.48（建议版本）、新架构：AF8.0.79、AF8.0.81(建议版本)。并开启WAF和IPS防护模块，IPS模板勾选web智能语义引擎（默认勾选）。

2、打上增强反序列漏洞检测能力的补丁包以加强对反序列漏洞的防御能力，只限AF8.0.48和AF8.0.81版本。对应的补丁包联系400获取。

3、将攻击IP(74.119.193.11)加入临时封锁或者永久封锁。

【深信服安全感知管理平台SIP】建议用户及时更新规则库，接入云图，并联动【深信服下一代防火墙AF】实现对高危风险的入侵防护。

【深信服安全托管服务MSS】以保障用户网络安全“持续有效”为目标，通过将用户安全设备接入安全运营中心，依托于XDR安全能力平台和MSSP安全服务平台实现有效协同的“人机共智”模式，围绕资产、脆弱性、威胁、事件四个要素为用户提供7*24H的安全运营服务，快速扩展持续有效的安全运营能力，保障可承诺的风险管控效果。