特级全黄久久久久久|日韩中文字幕第一页|看黄a大片日本真人视频直播|亚洲精品国产超清

<blockquote id="vopqu"><legend id="vopqu"></legend></blockquote>
    

    1. <b id="vopqu"><meter id="vopqu"></meter></b>
    3. 

        

        


        
	
        
	
        
		中文版
		Global
		
	
        
        
        
            
            
        
        
        
	
        
		
		
        
	
        
	
        

        

        
	
        
		
        
			
			
        
				
        
					
        
						
        
							
						
        
						
						
						
					
        
				
        
				
        
				
        
			
        
		
        
	
        
	

        

        
    
        
        
        
                        
        
                首頁 >
                安全資訊 > 正文
            
        
            
        
                
        
                    
        Tellyouthepass勒索軟件利用財(cái)務(wù)管理系統(tǒng)漏洞發(fā)動(dòng)規(guī)模性入侵
        

                    
        
                        
          
                            
        • 2023-06-15 10:24:39
          • 
                            
        • 
                            
        • 
                                                        
                                                    
        
                    
        
                    
        
                        
        一、攻擊概況
        360安全大腦監(jiān)測到,Tellyouthepass勒索軟件正在利用暢某通T+財(cái)務(wù)管理系統(tǒng)中存在的命令執(zhí)行漏洞發(fā)起攻擊,目前已監(jiān)控到有千余臺(tái)部署了該財(cái)務(wù)系統(tǒng)的服務(wù)器遭到攻擊。
        本輪所監(jiān)控到的攻擊最早發(fā)生于6月9日22時(shí)24分,在6月10日凌晨左右達(dá)到峰值后逐漸趨于平緩,此后一直持續(xù)到6月12日9時(shí)左右,本輪攻擊才算是告一段落。結(jié)合攻擊時(shí)間、類型以及規(guī)???,本輪攻擊很有可能是利用“6月8日被披露的該系統(tǒng)中存在的0day漏洞”進(jìn)行的。
        ?
        二、攻擊過程
        攻擊者利用財(cái)務(wù)管理系統(tǒng)的命令執(zhí)行漏洞入侵該系統(tǒng),進(jìn)而調(diào)用系統(tǒng)進(jìn)程mshta.exe下載并執(zhí)行遠(yuǎn)程服務(wù)器上的勒索腳本,腳本URL為:
        hxxp://107.172.143[.]184/login.css
        ?
        下載回來的腳本通過Base64解碼后,會(huì)得到其原本的Shellcode攻擊代碼,而該Shellcode會(huì)被作為一個(gè).NET類動(dòng)態(tài)加載進(jìn)內(nèi)存中執(zhí)行。
        ?
        被加載進(jìn)內(nèi)存的這段Shellcode,即為Tellyouthepass勒索軟件用于加密的主體功能代碼。該主體功能代碼中主要包含以下幾個(gè)功能函數(shù)。
        (1)? Destroy函數(shù)
        該函數(shù)用于結(jié)束數(shù)據(jù)庫進(jìn)程,以確保要加密的文件不會(huì)因被其他程序占用而導(dǎo)致其加密失敗。
        ?
        (2)? Run函數(shù)
        該函數(shù)用于檢測勒索軟件是否已運(yùn)行,并進(jìn)行機(jī)器信息的上報(bào)。最后會(huì)調(diào)用后續(xù)的文件加密函RunEncProcessDirectory進(jìn)行加密。
        ?
        (3)? RunEncProcessDirectory函數(shù)
        該函數(shù)是真正意義上的加密功能主體代碼。代碼會(huì)按目錄加密文件,加密目標(biāo)包括:文檔、音視頻、數(shù)據(jù)庫文件等447種不同文件類型。
        而對于每一臺(tái)受害機(jī)器,Tellyouthepass勒索軟件都會(huì)在本地生成一組RSA算法的公私鑰對。生成完成后,惡意代碼會(huì)使用內(nèi)置的RSA公鑰加密生成密鑰對中的私鑰內(nèi)容,并將其保存到show1.txt文件中,而公鑰內(nèi)容則會(huì)被原文保存到pubkey1.txt文件中,用于后續(xù)用戶解密時(shí)作為唯一ID提供。
        加密文件時(shí),勒索軟件生成一個(gè)16位的隨機(jī)GUID作為加密密鑰,通過AES算法加密文件內(nèi)容。之后再使用此前生成的RSA公鑰加密這個(gè)16位的GUID并存儲(chǔ)于被加密文件中。一切完成后,被加密的文件后綴修改為.locked。
        ?
        (4)? WriteMsg函數(shù)
        該函數(shù)用于在完成加密工作后生成勒索信息。這份勒索信息要求受害用戶將0.1個(gè)BTC轉(zhuǎn)到指定錢包中,錢包地址如下:
        bc1ql8an5slxutu3yjyu9rvhsfcpv29tsfhv3j9lr4
        此外,其還提供了一個(gè)聯(lián)系郵箱用于“討價(jià)還價(jià)”:
        service@hellowinter[.]online。
        值得一提的是,勒索信息中還建議受害用戶去我國某知名網(wǎng)購平臺(tái),去聯(lián)系數(shù)據(jù)恢復(fù)公司進(jìn)行解密——這一點(diǎn)也從側(cè)面證明了此次攻擊的幕后策劃者極有可能來自國內(nèi),且該團(tuán)伙對國內(nèi)的勒索軟件解密行業(yè)較為熟悉。
        ?
        三、安全建議
        由于此類攻擊是瞄準(zhǔn)某一特定行業(yè)或特定平臺(tái)展開的入侵行動(dòng),其本身就具有非常明確的指向性。故此,360建議部署了此款財(cái)務(wù)管理系統(tǒng)的政企用戶盡快聯(lián)系官方獲取安全補(bǔ)丁。
        其官網(wǎng)發(fā)布的補(bǔ)丁地址為
        https://www.chanjetvip.com/product/goods/
        同時(shí),我們也建議用戶使用360安全衛(wèi)士、360企業(yè)安全云等安全產(chǎn)品抵御包括Tellyouthepass家族在內(nèi)的各類勒索軟件攻擊,保障廣大用戶的設(shè)備及系統(tǒng)安全。

                            
        
                
        
            
        
            
        
                
        
                    
                        360安全衛(wèi)士
                        
                    
                
        
                
        
                    
        熱點(diǎn)排行
        
                    
                
        
            
        
        
        
        
    
        

        

        
    用戶
      
        反饋        
    返回
      
        頂部