用友暢捷通T+遭受批量勒索攻擊處置手冊

事件概述

8月29日開始，綠盟科技CERT團隊陸續接到多個客戶反饋，其用友軟件服務器遭受勒索病毒攻擊，具體表現為文件后綴被加密為.locked，勒索信息文件READ_ME.HTML中包含了攻擊者的郵箱（service@sunshinegirls.space）及BTC錢包地址。

遭受勒索攻擊的服務器均安裝了用友暢捷通T+軟件，文件加密時間集中在8月28日22:00至8月29日凌晨期間，通過加密文件特征分析，確認此次勒索病毒為TellYouThePass變種，綠盟科技CERT前期已處置過多起該勒索家族針對用友系列漏洞的攻擊事件。

查詢勒索信息文件READ_ME.HTML中公布的BTC錢包地址（bc1q22xcf2667tjq9ug0fgsmxmfm2kmz32lwtn4m7v），截止目前該地址共收到兩筆轉賬，包括一筆0.2BTC和一筆0.1BTC。

后門分析

在被感染主機的用友暢捷通T+軟件安裝目錄（如：D:\Chanjet\TPlusPro\WebSite\bin）下，發現了攻擊者投遞的后門文件App_Web_load.aspx.cdcab7d2.dll，該文件為微軟的aspnet_compiler.exe進行預編譯而生成，經過反編譯，可看到其源碼內容。

經過分析后門文件源代碼，確認其特征與冰蝎3.0.5的服務端代碼一致，可通過冰蝎Webshell客戶端進行連接。

漏洞利用

通過對后門文件及攻擊鏈進行分析，確認攻擊者利用了用友旗下暢捷通T+產品存在的任意文件上傳0day漏洞，該漏洞允許未經身份認證的遠程攻擊者通過構造特定請求，可將惡意文件上傳至目標系統，從而執行任意代碼。

用友暢捷通T+是一款基于互聯網的新型企業管理軟件，功能模塊包括：財務管理、采購管理、庫存管理等。主要針對中小型工貿和商貿企業的財務業務一體化應用，融入了社交化、移動化、物聯網、電子商務、互聯網信息訂閱等元素。

漏洞根源在于Upload.aspx文件存在認證缺陷，向該文件傳遞preload參數可直接繞過系統權限認證，從而實現任意文件上傳，漏洞影響范圍為暢捷通T+ <= v17.0。

產品檢測

綠盟科技遠程安全評估系統（RSAS）、WEB應用漏洞掃描系統(WVSS)、綜合威脅探針（UTS）與智能安全運營平臺（ISOP）已具備對此次漏洞的掃描與監測能力，請有部署以上設備的用戶升級至最新版本。