Tellyouthepass勒索軟件利用財(cái)務(wù)管理系統(tǒng)漏洞發(fā)動(dòng)規(guī)模性入侵

一、攻擊概況

360安全大腦監(jiān)測(cè)到，Tellyouthepass勒索軟件正在利用暢某通T+財(cái)務(wù)管理系統(tǒng)中存在的命令執(zhí)行漏洞發(fā)起攻擊，目前已監(jiān)控到有千余臺(tái)部署了該財(cái)務(wù)系統(tǒng)的服務(wù)器遭到攻擊。

本輪所監(jiān)控到的攻擊最早發(fā)生于6月9日22時(shí)24分，在6月10日凌晨左右達(dá)到峰值后逐漸趨于平緩，此后一直持續(xù)到6月12日9時(shí)左右，本輪攻擊才算是告一段落。結(jié)合攻擊時(shí)間、類型以及規(guī)?？?，本輪攻擊很有可能是利用“6月8日被披露的該系統(tǒng)中存在的0day漏洞”進(jìn)行的。

?

二、攻擊過(guò)程

攻擊者利用財(cái)務(wù)管理系統(tǒng)的命令執(zhí)行漏洞入侵該系統(tǒng)，進(jìn)而調(diào)用系統(tǒng)進(jìn)程mshta.exe下載并執(zhí)行遠(yuǎn)程服務(wù)器上的勒索腳本，腳本URL為：

hxxp://107.172.143[.]184/login.css。

?

下載回來(lái)的腳本通過(guò)Base64解碼后，會(huì)得到其原本的Shellcode攻擊代碼，而該Shellcode會(huì)被作為一個(gè).NET類動(dòng)態(tài)加載進(jìn)內(nèi)存中執(zhí)行。

?

被加載進(jìn)內(nèi)存的這段Shellcode，即為Tellyouthepass勒索軟件用于加密的主體功能代碼。該主體功能代碼中主要包含以下幾個(gè)功能函數(shù)。

(1)? Destroy函數(shù)

該函數(shù)用于結(jié)束數(shù)據(jù)庫(kù)進(jìn)程，以確保要加密的文件不會(huì)因被其他程序占用而導(dǎo)致其加密失敗。

?

(2)? Run函數(shù)

該函數(shù)用于檢測(cè)勒索軟件是否已運(yùn)行，并進(jìn)行機(jī)器信息的上報(bào)。最后會(huì)調(diào)用后續(xù)的文件加密函RunEncProcessDirectory進(jìn)行加密。

?

(3)? RunEncProcessDirectory函數(shù)

該函數(shù)是真正意義上的加密功能主體代碼。代碼會(huì)按目錄加密文件，加密目標(biāo)包括：文檔、音視頻、數(shù)據(jù)庫(kù)文件等447種不同文件類型。

而對(duì)于每一臺(tái)受害機(jī)器,Tellyouthepass勒索軟件都會(huì)在本地生成一組RSA算法的公私鑰對(duì)。生成完成后，惡意代碼會(huì)使用內(nèi)置的RSA公鑰加密生成密鑰對(duì)中的私鑰內(nèi)容，并將其保存到show1.txt文件中，而公鑰內(nèi)容則會(huì)被原文保存到pubkey1.txt文件中，用于后續(xù)用戶解密時(shí)作為唯一ID提供。

加密文件時(shí)，勒索軟件生成一個(gè)16位的隨機(jī)GUID作為加密密鑰，通過(guò)AES算法加密文件內(nèi)容。之后再使用此前生成的RSA公鑰加密這個(gè)16位的GUID并存儲(chǔ)于被加密文件中。一切完成后，被加密的文件后綴修改為.locked。

?

(4)? WriteMsg函數(shù)

該函數(shù)用于在完成加密工作后生成勒索信息。這份勒索信息要求受害用戶將0.1個(gè)BTC轉(zhuǎn)到指定錢包中，錢包地址如下：

bc1ql8an5slxutu3yjyu9rvhsfcpv29tsfhv3j9lr4

此外，其還提供了一個(gè)聯(lián)系郵箱用于“討價(jià)還價(jià)”：

service@hellowinter[.]online。

值得一提的是，勒索信息中還建議受害用戶去我國(guó)某知名網(wǎng)購(gòu)平臺(tái)，去聯(lián)系數(shù)據(jù)恢復(fù)公司進(jìn)行解密——這一點(diǎn)也從側(cè)面證明了此次攻擊的幕后策劃者極有可能來(lái)自國(guó)內(nèi)，且該團(tuán)伙對(duì)國(guó)內(nèi)的勒索軟件解密行業(yè)較為熟悉。

?

三、安全建議

由于此類攻擊是瞄準(zhǔn)某一特定行業(yè)或特定平臺(tái)展開(kāi)的入侵行動(dòng)，其本身就具有非常明確的指向性。故此，360建議部署了此款財(cái)務(wù)管理系統(tǒng)的政企用戶盡快聯(lián)系官方獲取安全補(bǔ)丁。

其官網(wǎng)發(fā)布的補(bǔ)丁地址為

https://www.chanjetvip.com/product/goods/

同時(shí)，我們也建議用戶使用360安全衛(wèi)士、360企業(yè)安全云等安全產(chǎn)品抵御包括Tellyouthepass家族在內(nèi)的各類勒索軟件攻擊，保障廣大用戶的設(shè)備及系統(tǒng)安全。