近日,360数字安全大脑监测发现Tellyouthepass勒索软件呈现卷土重来迹象。作为国内极具代表性的头部勒索软件家族,Tellyouthepass擅长利用Web应用漏洞对运行应用的服务器发起勒索攻击。即便仅从流行程度来说,该家族也曾多次占据国内勒索软件流行榜的榜首位置。
在2023年已经过去的前4个月中,该家族的传播略显沉寂。但自从进入5月,该家族则又展开了新一轮疯狂的攻击——仅5月上半月,360数字安全大脑就监测到其针对服务器发起两次较大规模勒索攻击,严重威胁到广大政企机构的数据与财产安全。
NC服务器勒索攻击事件
-
NC accept接口文件上传漏洞漏洞 -
NC NCInvokerServlet 接口任意代码执行漏洞
图1 漏洞利用的流量内容
图2 冰蝎WebShell内容
图3 攻击NC产品勒索过程进程树
文档安全管理系统攻击事件
图4 攻击亿赛通产品勒索过程进程树
从攻击发起的时间点来看,攻击者显然是在有意挑选非工作时间,以便尽可能避免攻击行为被过早察觉。此次攻击中所用到的漏洞也都是之前厂商已经修补过的已知漏洞——只不过目前尚有大量设备未及时安装相应的更新补丁程序。
一旦在入侵行为得手后,Tellyouthepass后续使用的勒索攻击手段则继续沿用与第一次攻击中相同的内存木马攻击,即通过在受害者机器上部署的WebShell直接下发并加载勒索模块,勒索软件的宿主进程就是Web应用服务的主程序。此类攻击方法的“优点”是能够避开很多传统安全软件的检测,提高其攻击成功率。
而勒索软件本身,和之前也比较相似,同样存在结束特定服务器进程、删除用户备份、跳过某些关键目录等常规操作,最终通过RSA+AES两种算法实现对文件的最终加密行为。
图5 勒索软件核心功能代码
2020年7月27日
利用永恒之蓝漏洞攻击传播,导致多个企业受害。
2021年12月15日
2021年12月19日
2022年1月11日
2022年8月30日
利用畅捷通0day漏洞发动勒索攻击,引发行业高度关注。
安全建议
往期推荐
|
|||
|
|||
|
|||
|
原文始发于微信公众号(360数字安全):360发布勒索预警:小心Tellyouthepass复苏,瞄准政企机构对外公共设备
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论