360发布勒索预警：小心Tellyouthepass复苏，瞄准政企机构对外公共设备

来源于三六零CERT


.
360CERT是360成立的针对重要网络安全事件进行快速预警、应急响应的安全协调中心


近日，360数字安全大脑监测发现Tellyouthepass勒索软件呈现卷土重来迹象。作为国内极具代表性的头部勒索软件家族，Tellyouthepass擅长利用Web应用漏洞对运行应用的服务器发起勒索攻击。即便仅从流行程度来说，该家族也曾多次占据国内勒索软件流行榜的榜首位置。



在2023年已经过去的前4个月中，该家族的传播略显沉寂。但自从进入5月，该家族则又展开了新一轮疯狂的攻击——仅5月上半月，360数字安全大脑就监测到其针对服务器发起两次较大规模勒索攻击，严重威胁到广大政企机构的数据与财产安全。


NC服务器勒索攻击事件


Tellyouthepass在本月发动的第一次攻击出现在5月6日16时49分左右，是针对某NC服务器软件发起，随后在5月8日0时~1时的区间内达到攻击高峰。攻击者所使用的主要漏洞包括：

NC accept接口文件上传漏洞漏洞
NC NCInvokerServlet 接口任意代码执行漏洞

漏洞利用成功后，攻击者会向受攻击的服务器上传冰蝎WebShell，而该WebShell则会接收攻击者发送的恶意模块并将恶意模块加载进内存中执行。

图1 漏洞利用的流量内容

图2 冰蝎WebShell内容

恶意模块被加载到内容中后，会释放Tellyouthepass勒索软件代码，而后对当前系统环境进行探测并结束数据库进程，最终调用之前释放的勒索代码完成加密工作。

图3 攻击NC产品勒索过程进程树

文档安全管理系统攻击事件


第二次攻击事件的高峰出现在5月15日20时~21时的区间内，此次攻击的目标则是亿赛通电子文档安全管理系统。

图4 攻击亿赛通产品勒索过程进程树

从攻击发起的时间点来看，攻击者显然是在有意挑选非工作时间，以便尽可能避免攻击行为被过早察觉。此次攻击中所用到的漏洞也都是之前厂商已经修补过的已知漏洞——只不过目前尚有大量设备未及时安装相应的更新补丁程序。



一旦在入侵行为得手后，Tellyouthepass后续使用的勒索攻击手段则继续沿用与第一次攻击中相同的内存木马攻击，即通过在受害者机器上部署的WebShell直接下发并加载勒索模块，勒索软件的宿主进程就是Web应用服务的主程序。此类攻击方法的“优点”是能够避开很多传统安全软件的检测，提高其攻击成功率。



而勒索软件本身，和之前也比较相似，同样存在结束特定服务器进程、删除用户备份、跳过某些关键目录等常规操作，最终通过RSA+AES两种算法实现对文件的最终加密行为。

图5 勒索软件核心功能代码

在此之前，Tellyouthepass勒索软件家族持续凭借着不俗的作恶战力，接连发起过众多破坏力极大的勒索攻击：

2020年7月27日

利用永恒之蓝漏洞攻击传播，导致多个企业受害。

2021年12月15日

利用国内某OA软件中内置的Apache Log4j2组件漏洞扩散，多家企事业单位受到影响。
2021年12月19日

利用Log4j2漏洞发起勒索攻击，Windows、Linux 双平台均有受害情况发生。
2022年1月11日

基于跨平台语言Golang重写后“复苏”，并变得更容易针对更多操作系统。
2022年8月30日

利用畅捷通0day漏洞发动勒索攻击，引发行业高度关注。


安全建议


此次，鉴于Tellyouthepass在本月发起的两次有一定规模的攻击事件，均为针对企业的服务器或管理系统一类对外公共设备，360建议广大政企机构建立全面的数字安全防御体系，正确安装安全防护软件，以免重要数据泄露而产生不可逆的损失。


针对广大用户，尤其是政企机构内负责服务器运营维护的管理人员来说，除了进行较为常规的安全防护外，我们也有针对性的给出如下需要尤其重点关注的安全防护建议：

1.使用360终端安全防护产品，其针对服务器的保护功能，以及对漏洞的防御功能，可以有效抵御各类利用Web应用漏洞进行勒索投毒的攻击，保障服务器安全；对于已经中招的设备，其可以有效实现查杀，并对系统进行安全加固。

2.对于无需对公网开放的服务，建议将其架设至内网，或设置访问限制，减少来自互联网的网络攻击。

3.管理员应检查搭建的各类Web应用，关注官方补丁发布情况，尽早完成安全补丁的更新。



360终端安全管理系统是在360数字安全大脑的赋能下，集成防病毒、漏洞与补丁管理、Win7盾甲、终端管控、桌面优化、软件管理、安全U盘及移动存储管理等功能于一体，可及时完成对该类勒索病毒的查杀。建议广大政企机构下载使用，尽快构建起应对高级威胁的终端威胁对抗体系。