企業(yè)網(wǎng)站變挖礦“機(jī)”，360安全大腦強(qiáng)勢(shì)截殺木馬危機(jī)

作為協(xié)作交流的重要平臺(tái)，OA系統(tǒng)有效提高了員工的辦公效率和企業(yè)的經(jīng)濟(jì)效益，成為企業(yè)數(shù)字化建設(shè)的代名詞。但一旦OA系統(tǒng)遭受網(wǎng)絡(luò)攻擊，企業(yè)將可能面臨不可估量的重創(chuàng)。

近日，360安全大腦監(jiān)測(cè)到國(guó)內(nèi)知名協(xié)同管理軟件——致遠(yuǎn)OA網(wǎng)站出現(xiàn)掛馬情況，不法攻擊者疑似利用該OA系統(tǒng)曝出的GetShell漏洞實(shí)施入侵活動(dòng)。

360安全大腦追蹤發(fā)現(xiàn)，不法攻擊者入侵后，會(huì)將該OA網(wǎng)站正常組件程序替換為門羅幣挖礦病毒程序，進(jìn)而利用網(wǎng)站服務(wù)器的高速運(yùn)行能力挖礦，非法獲取不正當(dāng)利益。截止目前，攻擊者挖取到的門羅幣總價(jià)值超過(guò)10萬(wàn)人民幣。

對(duì)此，360安全大腦已針對(duì)此類木馬進(jìn)行了全方位的查殺和攔截，特別提醒廣大用戶需提高警惕。

OA漏洞慘遭木馬利用

企業(yè)網(wǎng)站慘變挖礦“機(jī)”

此次意外中招的致遠(yuǎn)OA系統(tǒng)是一款國(guó)內(nèi)知名的協(xié)同管理軟件，不僅擁有面向中小企業(yè)組織的A6+產(chǎn)品，面向中大型企業(yè)和集團(tuán)性企業(yè)組織的A8+產(chǎn)品，還有專門面向政府組織及事業(yè)單位的G6產(chǎn)品。由于出眾的運(yùn)行能力，該OA系統(tǒng)網(wǎng)站服務(wù)器受到眾多用戶的青睞。

擁有了廣泛的用戶基礎(chǔ)，就意味著將擁有不俗的經(jīng)濟(jì)效益，因此其也成為了不法攻擊者眼中的“礦工”良選。

360安全大腦分析顯示，目前攻擊主要針對(duì)使用A6及A8產(chǎn)品的網(wǎng)站，在攻擊流程上也基本一致。360安全大腦追蹤數(shù)據(jù)顯示，網(wǎng)站服務(wù)器中招后，基本會(huì)呈現(xiàn)四種情況，具體如下：

1. guest 賬戶會(huì)被激活。

2. 系統(tǒng)中會(huì)新增名為ServiceMains的服務(wù)，可通過(guò)任務(wù)管理器--服務(wù)選項(xiàng)卡查看。

3. A8Seeyon.exe(或A6Seeyon.exe)被替換為門羅幣挖礦程序。

4. D:\Seeyon目錄下存在ccc.exe，此程序是名為cpolar的內(nèi)網(wǎng)穿透工具，入侵者通過(guò)此工具可以進(jìn)行遠(yuǎn)程桌面連接。

截止目前，已有多家部署該OA系統(tǒng)的企業(yè)網(wǎng)站被控制，淪為不法攻擊者非法獲取利益的工具。如若網(wǎng)站出現(xiàn)上述四類程序，企業(yè)用戶需及時(shí)前往OA官方網(wǎng)站下載修復(fù)補(bǔ)丁，同時(shí)下載安裝360安全衛(wèi)士進(jìn)行木馬查殺。

非法獲利10萬(wàn)+門羅幣

360安全大腦獨(dú)家披露樣本細(xì)節(jié)

從360安全大腦追蹤到的樣本細(xì)節(jié)來(lái)看，攻擊者會(huì)將包含惡意程序的加密壓縮包，偽裝成png圖片后，定向投放在已被攻陷網(wǎng)站，且為了防止鏈接失效，攻擊者連續(xù)設(shè)置了6個(gè)備份鏈接，以保證中招率。

(攻擊者連續(xù)設(shè)置備份鏈接詳情)

值得注意的是，360安全大腦發(fā)現(xiàn)不法攻擊者會(huì)通過(guò)讀取注冊(cè)表相關(guān)項(xiàng)的方式，判斷系統(tǒng)安裝的OA版本。如若發(fā)現(xiàn)是A8+產(chǎn)品，會(huì)執(zhí)行A8Install流程;如果是A6+產(chǎn)品，則會(huì)執(zhí)行A6Install流程，而當(dāng)在注冊(cè)表中搜索不到相關(guān)信息時(shí)，則進(jìn)入ZDY流程執(zhí)行。

(ZDY流程執(zhí)行)

如上文所述，針對(duì)不同版本的OA系統(tǒng)，攻擊流程基本一致，都是在文件解壓后，刪除原有文件，替換為惡意挖礦程序。360安全大腦數(shù)據(jù)顯示，攻擊者會(huì)根據(jù)OA版本選擇不同的替換文件，其中A8+產(chǎn)品替換A8Seeyon.exe，A6+產(chǎn)品則替換為A6Seeyou.exe，至于無(wú)法判斷版本的則會(huì)替換為A8Seeyon.exe。完成替換后，原本正常OA組件就會(huì)變成門羅幣挖礦病毒程序xmrig-notls.exe，徹底淪為攻擊者非法獲利的工具。

樣本分析過(guò)程中，360安全大腦發(fā)現(xiàn)攻擊者為了迷惑網(wǎng)站管理員，還會(huì)將挖礦程序(System.tmp)注冊(cè)為服務(wù)程序，并通過(guò)sc命令將其修改為極具迷惑性的服務(wù)描述。目前，360安全大腦發(fā)現(xiàn)針對(duì)該OA系統(tǒng)進(jìn)行挖礦的錢包地址主要有2個(gè)，錢包地址具體如下：

從上圖左邊曲線也可以看出，挖礦程序的算力正在持續(xù)攀升，也就意味著被攻破網(wǎng)站數(shù)量正在攀升，越來(lái)越多的網(wǎng)站不知不覺(jué)間，已被卷入不法攻擊者的挖礦大業(yè)中。對(duì)追蹤到的錢包賬戶進(jìn)行關(guān)聯(lián)分析后，360安全大腦發(fā)現(xiàn)多個(gè)相關(guān)賬戶，所有賬號(hào)內(nèi)的門羅幣總市值超10萬(wàn)元。

在發(fā)現(xiàn)此次OA網(wǎng)站掛馬事件的第一時(shí)間，360安全大腦便對(duì)此類木馬展開(kāi)持續(xù)追蹤，目前已可有效進(jìn)行攔截查殺。值得一提的是，近幾年來(lái)，意外遭受網(wǎng)絡(luò)侵襲的OA系統(tǒng)其實(shí)并非少數(shù)，為避免類似威脅態(tài)勢(shì)繼續(xù)蔓延，360安全大腦給出如下安全建議：

1、前往weishi.#，下載安裝360安全衛(wèi)士，對(duì)此類木馬進(jìn)行有效查殺;

2、定期檢測(cè)系統(tǒng)和軟件中的安全漏洞，及時(shí)打上補(bǔ)丁;

3、對(duì)于殺毒軟件報(bào)毒的程序，不要輕易添加信任或退出殺軟運(yùn)行;

4、提高安全意識(shí)，建議從正規(guī)渠道下載軟件，如官方網(wǎng)站或360軟件管家等。