【安全事件】攻击者利用通达OA漏洞释放勒索病毒，用户数据遭到加密

攻击者利用通达OA漏洞释放勒索病毒，用户数据遭到加密

      近日，通达OA官方论坛发布了一则安全更新，披露了近期出现攻击者利用通达OA文件上传和文件包含漏洞释放勒索病毒的攻击事件，攻击者通过漏洞上传webshell伪装OA插件的下载提示页面，诱导用户点击下载运行勒索病毒，官方紧急发布了各版本的安全加固补丁。

漏洞名称：通达OA文件上传和文件包含漏洞可致远程代码执行

威胁等级：高危

影响范围：

通达OA V11版

通达OA 2017版

通达OA 2016版

通达OA 2015版

通达OA 2013增强版

通达OA 2013版

漏洞类型：远程代码执行

利用难度：简单

事件分析

1 通达OA组件介绍

通达OA（Office Anywhere网络智能办公系统）是由北京通达信科科技有限公司自主研发的协同办公自动化软件，是与中国企业管理实践相结合形成的综合管理办公平台。

通达OA为各行业不同规模的众多用户提供信息化管理能力，包括流程审批、行政办公、日常事务、数据统计分析、即时通讯、移动办公等，帮助广大用户降低沟通和管理成本，提升生产和决策效率。该系统采用领先的B/S(浏览器/服务器)操作方式，使得网络办公不受地域限。通达Office Anywhere采用基于WEB的企业计算，主HTTP服务器采用了世界上最先进的Apache服务器，性能稳定可靠。数据存取集中控制，避免了数据泄漏的可能。提供数据备份工具，保护系统数据安全。多级的权限控制，完善的密码验证与登录验证机制更加强了系统安全性。

2 漏洞复现

近日，通达OA官方论坛发布了一则安全更新，由于近期部分通达OA的用户遭受到勒索病毒攻击，官方紧急发布了各版本的安全加固补丁。

从官方发布的补丁分析，通达OA V11以下版本仅存在未授权任意文件上传漏洞；通达OA V11版本则存在未授权任意文件上传以及任意文件包含两个漏洞，攻击者可在通达OA V11版本利用两个漏洞构造组合利用链，最终在目标服务器上执行任意代码。

搭建通达OA V11版本漏洞环境，通过构造文件上传绕过，实现PHP文件成功上传到目标服务器。效果如下图：

通过文件包含漏洞，构造攻击数据，成功访问到目标服务器的nginx服务器日志。效果如下图：

通过组合利用两个漏洞，最终实现代码执行操作：

3 事件描述

据深信服安全团队分析，此次利用漏洞进行攻击的是一款GO语言编写的勒索病毒，使用RSA+AES算法加密，暂时没有公开的解密工具。勒索病毒进行加密后会在每个目录下释放勒索信息文件readme_readme_readme.txt，向用户勒索0.3比特币，具体内容如下：

并且加密后会并没有修改特定的后缀，而是在原有的文件后缀的最后加上一个“1”：

4 恶意文件详细分析

该勒索病毒使用GO语言编写，没有加壳或去符号化，功能较为简单，从main中可以看到大致的执行流程：

进行加密的文件类型包括：

".doc,.docx,.xls,.xlsx,.ppt,.pptx,.pst,.ost,.msg,.eml,.vsd,.vsdx,.txt,.log,.csv,.rtf,.123,.wks,.wk1,.pdf,.dwg,.onetoc2,.snt,.jpeg,.jpg,.docb,.docm,.dot,.dotm,.dotx,.xlsm,.xlsb,.xlw,.xlt,.xlm,.xlc,.xltx,.xltm,.pptm,.pot,.pps,.ppsm,.ppsx,.ppam,.potx,.potm,.edb,.hwp,.602,.sxi,.sti,.sldx,.sldm,.vdi,.vmdk,.vmx,.gpg,.aes,.ARC,.PAQ,.bz2,.tbk,.bak,.tar,.tgz,.gz,.7z,.rar,.zip,.backup,.iso,.vcd,.bmp,.png,.gif,.raw,.cgm,.tif,.tiff,.nef,.psd,.ai,.svg,.djvu,.m4u,.m3u,.mid,.wma,.flv,.3g2,.mkv,.3gp,.mp4,.mov,.avi,.asf,.mpeg,.vob,.mpg,.wmv,.fla,.swf,.wav,.mp3,.sh,.class,.jar,.java,.rb,.asp,.php,.jsp,.brd,.sch,.dch,.dip,.pl,.py,.vb,.vbs,.ps1,.bat,.cmd,.js,.asm,.h,.pas,.cpp,.c,.cs,.suo,.sln,.ldf,.mdf,.ibd,.myi,.myd,.frm,.odb,.dbf,.db,.mdb,.accdb,.sql,.sqlitedb,.sqlite3,.asc,.lay6,.lay,.mml,.sxm,.otg,.odg,.uop,.std,.sxd,.otp,.odp,.wb2,.slk,.dif,.stc,.sxc,.ots,.ods,.3dm,.max,.3ds,.uot,.stw,.sxw,.ott,.odt,.pem,.p12,.csr,.crt,.key,.pfx,.der"

执行cmd命令停止mysql，解除文件占用：

使用base64解码RSA加密随机生成的AES算法的公钥，并用公钥加密AES秘钥：

将加密后的秘钥拼接到勒索信息中，随后遍历目录释放勒索信息文件：

使用AES算法加密文件：

影响范围

目前受影响的通达OA版本：

1.任意文件上传漏洞影响：

通达OA V11

通达OA 2017

通达OA 2016

通达OA 2015

通达OA 2013增强版

通达OA 2013

2.任意文件包含漏洞影响：

通达OA V11

解决方案

1 修复建议

还未出现勒索现象的通达OA用户尽可能的将服务器断开互联网，并立即备份数据，且做好异地备份，如出现上文提到的下载OA插件提示页面请一定不要点击下载，并尽快通过下列官方链接下载通达OA官方公布的补丁程序进行防护：

http://tongda2000.com/news/673.php?spm=a2c4g.11174386.n2.3.3d3d1051dif5d9

2 深信服解决方案

针对已经出现勒索现象的用户，由于暂时没有解密工具，建议尽快对感染主机进行断网隔离。深信服提醒广大用户尽快做好病毒检测与防御措施，防范该病毒家族的勒索攻击。

【深信服下一代防火墙】可轻松防御此漏洞，建议部署深信服下一代防火墙的用户更新至最新的安全防护规则，可轻松抵御此高危风险。

1）  确认当前设备软件更新

a、防火墙的软件版本需要升级到AF8.0.8及以后的版本，如下图：

b、防火墙的【安全能力更新】-【WEB应用防护库】需要更新到2020-03-18号及以后版本，【SAVE安全智能文件检测模型库】保持最新即可，如下图：

2）  开启安全防护策略

针对此次的“通达OA漏洞释放勒索病毒“的风险防护，SANGFOR AF建议针对【内网终端主机】和【内网业务系统】，均开启“病毒查杀”功能。而针对【内网业务系统】开启“WEB应用防护功能”。配置如下：

a、设置病毒查杀的文件大小，默认2M，针对此次的风险，建议把“应用程序”的查杀文件大小改为5M，如下图：

b、【策略】-【安全策略】-【安全防护策略】界面，新增【业务防护策略】，如下：

c、【策略】-【安全策略】-【用户防护策略】界面，新增【用户防护策略】，如下：

【深信服云盾】已第一时间从云端自动更新防护规则，云盾用户无需操作，即可轻松、快速防御此高危风险。

【深信服安全感知平台】可检测利用该漏洞的攻击，实时告警，并可联动【深信服下一代防火墙等产品】实现对攻击者ip的封堵。

1） SIP升级漏洞特征识别库

SIP的WAF漏洞特征库需要更新到2020年3月18号的规则库。

a、在线升级漏洞特征识别库查看SIP的WAF漏洞特征识别库。位置【系统设置】-【升级管理】-【库升级】点击安全检测特征识别库的“当前版本“时间，如下图：

若当前版本低于3月18号，在平台能上网环境时，点击安全检测特征识别库的“立即云端获取”进行更新。

b、离线升级漏洞特征识别库，从以下地址进行下载“web应用防护库”。

https://bbs.sangfor.com.cn/plugin.php?id=service:download&action=view&fid=100000021428125#/100000035154687/all

将下载的包，导入SIP进行更新。

2）STA升级web应用防护库

STA通过SIP更新规则库，保证STA能连接到SIP的TCP4488端口。

查看到探针规则库版本的时间低与平台规则库版本是，可点击立即刷新，进行更新。自动更新时间为1小时检测一次。

【深信服安全运营服务】深信服云端安全专家提供7*24小时持续的安全运营服务。在漏洞爆发之初，云端安全专家即对客户的网络环境进行漏洞扫描，保障第一时间检查客户的主机是否存在此漏洞。对存在漏洞的用户，检查并更新了客户防护设备的策略，确保客户防护设备可以防御此漏洞风险。

【深信服安全云眼】在漏洞爆发之初，已完成检测更新，对所有用户网站探测，保障用户安全。不清楚自身业务是否存在漏洞的用户，可注册信服云眼账号，获取30天免费安全体验。

注册地址：http://saas.sangfor.com.cn

【深信服云镜】在漏洞爆发第一时间即完成检测能力的发布，部署了云镜的用户可以通过升级来快速检测网络中是否受该高危风险影响，避免被攻击者利用。离线使用云镜的用户需要下载离线更新包来获得漏洞检测能力，可以连接云端升级的用户可自动获得漏洞检测能力。

【安全云脑】使用深信服安全产品，接入安全云脑，使用云查服务可以即时检测防御新威胁。

【深信服终端安全检测响应平台EDR】深信服终端检测响应平台（EDR）用户，无须担心，此次通达OA漏洞释放的勒索病毒，EDR无须升级病毒规则库，就能自动进行识别和拦截，保障您的业务安全。只要开启EDR勒索防护功能，将持续精准拦截勒索病毒。

1） 更新病毒库

需要更新病毒库到20200317114415及以上版本。

a、EDR管理平台能连接互联网情况，通过以下界面检查EDR管理平台是否完成自动更新。

b、EDR管理平台不能联网情况，通过以下地址下载离线病毒库，导入EDR管理平台更新。

https://bbs.sangfor.com.cn/plugin.php?id=service:download&action=view&fid=100000022878128#/100000037221875/all

病毒库需要解压，解压密码为sangfor，得到pkg文件，通过以下界面导入EDR管理平台。

2） 开启安全策略

a、启用实时防护策略

打开【终端管理】->【策略中心】，针对内网终端启用实时防护策略，开启文件实时监控、勒索病毒防护、暴力破解检测，配置如下图：

b、启用病毒查杀策略

打开【终端管理】->【策略中心】，针对内网windows终端启用病毒查杀策略，配置定时查杀，配置如下图：

3） 进行病毒查杀

对内网终端进行进行一次全盘查杀，检查内网是否已经感染病毒，如下图：

查杀过程如果发现利用通达OA漏洞释放勒索病毒，检测结果如下，一键隔离处置即可。

感谢分享!

已查看，多谢分享                    

已查看，多谢分享   

已查看，多谢分享   

已查看，多谢分享   

干货，谢谢楼主分享。

通达OA漏洞释放勒索病毒

base64解码RSA加密随机生成的AES算法的公钥，并用公钥加密AES秘钥

AES算法加密文件。。。