站長資訊網作為協作交流的重要平臺,OA系統有效提高了員工的辦公效率和企業的經濟效益,成為企業數字化建設的代名詞。但一旦OA系統遭受網絡攻擊,企業將可能面臨不可估量的重創。
近日,360安全大腦監測到國內知名協同管理軟件——致遠OA網站出現掛馬情況,不法攻擊者疑似利用該OA系統曝出的GetShell漏洞實施入侵活動。
360安全大腦追蹤發現,不法攻擊者入侵后,會將該OA網站正常組件程序替換為門羅幣挖礦病毒程序,進而利用網站服務器的高速運行能力挖礦,非法獲取不正當利益。截止目前,攻擊者挖取到的門羅幣總價值超過10萬人民幣。
對此,360安全大腦已針對此類木馬進行了全方位的查殺和攔截,特別提醒廣大用戶需提高警惕。
OA漏洞慘遭木馬利用
企業網站慘變挖礦“機”
此次意外中招的致遠OA系統是一款國內知名的協同管理軟件,不僅擁有面向中小企業組織的A6+產品,面向中大型企業和集團性企業組織的A8+產品,還有專門面向政府組織及事業單位的G6產品。由于出眾的運行能力,該OA系統網站服務器受到眾多用戶的青睞。
擁有了廣泛的用戶基礎,就意味著將擁有不俗的經濟效益,因此其也成為了不法攻擊者眼中的“礦工”良選。
360安全大腦分析顯示,目前攻擊主要針對使用A6及A8產品的網站,在攻擊流程上也基本一致。360安全大腦追蹤數據顯示,網站服務器中招后,基本會呈現四種情況,具體如下:
1. guest 賬戶會被激活。
2. 系統中會新增名為ServiceMains的服務,可通過任務管理器–服務選項卡查看。
3. A8Seeyon.exe(或A6Seeyon.exe)被替換為門羅幣挖礦程序。
4. D:Seeyon目錄下存在ccc.exe,此程序是名為cpolar的內網穿透工具,入侵者通過此工具可以進行遠程桌面連接。
截止目前,已有多家部署該OA系統的企業網站被控制,淪為不法攻擊者非法獲取利益的工具。如若網站出現上述四類程序,企業用戶需及時前往OA官方網站下載修復補丁,同時下載安裝360安全衛士進行木馬查殺。
非法獲利10萬+門羅幣
360安全大腦獨家披露樣本細節
從360安全大腦追蹤到的樣本細節來看,攻擊者會將包含惡意程序的加密壓縮包,偽裝成png圖片后,定向投放在已被攻陷網站,且為了防止鏈接失效,攻擊者連續設置了6個備份鏈接,以保證中招率。
(攻擊者連續設置備份鏈接詳情)
值得注意的是,360安全大腦發現不法攻擊者會通過讀取注冊表相關項的方式,判斷系統安裝的OA版本。如若發現是A8+產品,會執行A8Install流程;如果是A6+產品,則會執行A6Install流程,而當在注冊表中搜索不到相關信息時,則進入ZDY流程執行。
(ZDY流程執行)
如上文所述,針對不同版本的OA系統,攻擊流程基本一致,都是在文件解壓后,刪除原有文件,替換為惡意挖礦程序。360安全大腦數據顯示,攻擊者會根據OA版本選擇不同的替換文件,其中A8+產品替換A8Seeyon.exe,A6+產品則替換為A6Seeyou.exe,至于無法判斷版本的則會替換為A8Seeyon.exe。完成替換后,原本正常OA組件就會變成門羅幣挖礦病毒程序xmrig-notls.exe,徹底淪為攻擊者非法獲利的工具。
樣本分析過程中,360安全大腦發現攻擊者為了迷惑網站管理員,還會將挖礦程序(System.tmp)注冊為服務程序,并通過sc命令將其修改為極具迷惑性的服務描述。目前,360安全大腦發現針對該OA系統進行挖礦的錢包地址主要有2個,錢包地址具體如下:
從上圖左邊曲線也可以看出,挖礦程序的算力正在持續攀升,也就意味著被攻破網站數量正在攀升,越來越多的網站不知不覺間,已被卷入不法攻擊者的挖礦大業中。對追蹤到的錢包賬戶進行關聯分析后,360安全大腦發現多個相關賬戶,所有賬號內的門羅幣總市值超10萬元。
在發現此次OA網站掛馬事件的第一時間,360安全大腦便對此類木馬展開持續追蹤,目前已可有效進行攔截查殺。值得一提的是,近幾年來,意外遭受網絡侵襲的OA系統其實并非少數,為避免類似威脅態勢繼續蔓延,360安全大腦給出如下安全建議:
1、前往weishi.360.cn,下載安裝360安全衛士,對此類木馬進行有效查殺;
2、定期檢測系統和軟件中的安全漏洞,及時打上補丁;
3、對于殺毒軟件報毒的程序,不要輕易添加信任或退出殺軟運行;
4、提高安全意識,建議從正規渠道下載軟件,如官方網站或360軟件管家等。
特別提醒:本網內容轉載自其他媒體,目的在于傳遞更多信息,并不代表本網贊同其觀點。其原創性以及文中陳述文字和內容未經本站證實,對本文以及其中全部或者部分內容、文字的真實性、完整性、及時性本站不作任何保證或承諾,并請自行核實相關內容。本站不承擔此類作品侵權行為的直接責任及連帶責任。如若本網有任何內容侵犯您的權益,請及時聯系我們,本站將會在24小時內處理完畢。
