1.典型案例 

本次案例參考去年3月期間TellYouThePass勒索病毒家族常用的攻擊手法，關(guān)于該家族的病毒分析詳情可參考【病毒分析】locked勒索病毒分析。

 2.場(chǎng)景還原 

2.1場(chǎng)景設(shè)置

在本次模擬攻擊場(chǎng)景中，攻擊者首先利用暢捷通CNVD-2022-60632文件上傳漏洞上傳Webshell，實(shí)施勒索病毒加密，完成整個(gè)攻擊鏈的模擬。

2.2攻擊路線圖

2.3攻擊復(fù)現(xiàn)

使用哥斯拉生成Webshell。

因?yàn)闀辰萃═+程序都使用了預(yù)編譯，所以上傳的shell也需要先進(jìn)行預(yù)編譯處理：

CMD執(zhí)行

C:\Windows\Microsoft.NET\Framework\v4.0.30319>aspnet_compiler.exe -v / -p C:\Users\Anonymous\Desktop\test C:\Users\Anonymous\Desktop\test1 -fixednames

C:\Users\Anonymous\Desktop\test 為webshell存在目錄
C:\Users\Anonymous\Desktop\test1 為編譯后文件生成目錄

構(gòu)造CNVD-2022-66032數(shù)據(jù)包，將webshell上傳至網(wǎng)站根目錄：

之后將編譯好的文件上傳至?xí)辰萃ǖ腷in目錄下。

訪問(wèn)/tplus/shell.aspx?preload=1成功觸發(fā)webshell。

可直接獲取system權(quán)限。

 3.漏洞詳情 

3.1漏洞名稱(chēng)

暢捷通任意文件上傳漏洞。

3.2漏洞類(lèi)型

文件上傳漏洞。

3.3漏洞描述

該漏洞發(fā)布于2022年8月，未經(jīng)身份認(rèn)證的攻擊者利用該漏洞，通過(guò)繞過(guò)系統(tǒng)鑒權(quán)，在特定配置環(huán)境下實(shí)現(xiàn)任意文件的上傳，從而執(zhí)行任意代碼，獲得服務(wù)器控制權(quán)限。目前，已有用戶(hù)被不法分子利用該漏洞進(jìn)行勒索病毒攻擊的情況出現(xiàn)，常見(jiàn)利用該漏洞進(jìn)行勒索的病毒家族有：mallox、tellyouthepass等。

 4.應(yīng)急響應(yīng)排查 

4.1初始訪問(wèn)

初始訪問(wèn)使用過(guò)用友暢捷通文件上傳漏洞實(shí)現(xiàn)的，威脅行為者主要通過(guò)CNVD-2022-60632完成入侵，排查web日志發(fā)現(xiàn)存在大量的webshell連接行為：

在繼續(xù)排查過(guò)程中發(fā)現(xiàn)webshell為冰蝎木馬。

4.2釋放勒索病毒

之后上傳加密器完成數(shù)據(jù)加密操作。

 5.防范措施 

一、輸入驗(yàn)證與過(guò)濾

1.嚴(yán)格文件類(lèi)型檢查

• 白名單機(jī)制：僅允許特定擴(kuò)展名（如.pdf, .docx, .jpg）上傳，拒絕其他類(lèi)型。
• MIME類(lèi)型驗(yàn)證：服務(wù)器端校驗(yàn)文件的真實(shí)MIME類(lèi)型（如PDF對(duì)應(yīng)application/pdf），而非依賴(lài)客戶(hù)端提交的類(lèi)型。
• 文件頭檢查：通過(guò)讀取文件頭部字節(jié)（如PDF以%PDF-開(kāi)頭），防止偽造擴(kuò)展名。

2.文件內(nèi)容掃描

• 使用殺毒軟件（如ClamAV）掃描上傳文件，檢測(cè)惡意代碼。
• 對(duì)圖片文件進(jìn)行二次渲染（如ImageMagick處理），避免嵌入惡意腳本。

3.限制文件大小

• 設(shè)置合理的上傳大小上限（如10MB），防止大文件攻擊或資源耗盡。

二、存儲(chǔ)與權(quán)限控制

1.隔離存儲(chǔ)路徑

• 將上傳文件存放在Web根目錄外的獨(dú)立目錄，避免直接通過(guò)URL訪問(wèn)。
• 示例：/var/uploads/ 而非 /var/www/html/uploads/。

2.重命名文件

• 生成隨機(jī)文件名（如UUID），避免攻擊者猜測(cè)路徑。
• 移除文件擴(kuò)展名或強(qiáng)制改為靜態(tài)類(lèi)型（如.txt）。

3.權(quán)限最小化

• 上傳目錄設(shè)置為不可執(zhí)行（Linux下chmod 644），禁止腳本解析。
• 禁用目錄瀏覽功能，防止攻擊者遍歷文件。

三、服務(wù)器與配置加固

1.禁用危險(xiǎn)MIME類(lèi)型

• 在Web服務(wù)器（Nginx/Apache）中禁止解析高風(fēng)險(xiǎn)擴(kuò)展名（如.php, .jsp）。
• Nginx示例：

location ~* \.(php|jsp)$ {
    deny all;
}

2.設(shè)置HTTP安全頭

• 添加Content-Disposition: attachment強(qiáng)制下載，阻止瀏覽器直接渲染文件。
• 使用CSP（內(nèi)容安全策略）限制資源加載。

3.更新與補(bǔ)丁管理

• 定期升級(jí)暢捷通系統(tǒng)及依賴(lài)框架（如Java Spring、PHP），修復(fù)已知漏洞。

四、日志與監(jiān)控

1.記錄上傳行為

• 記錄上傳者的IP、時(shí)間、文件名、類(lèi)型等信息，便于追溯攻擊來(lái)源。

2.實(shí)時(shí)監(jiān)控異常

• 設(shè)置告警機(jī)制，檢測(cè)高頻上傳、異常文件類(lèi)型等行為。

五、其他防護(hù)手段

1.使用CDN或云存儲(chǔ)

• 將文件存儲(chǔ)至第三方服務(wù)（如阿里云OSS），通過(guò)其安全策略（如防盜鏈、MIME校驗(yàn)）降低風(fēng)險(xiǎn)。

2.定期安全測(cè)試

• 進(jìn)行滲透測(cè)試和代碼審計(jì)，重點(diǎn)檢查文件上傳邏輯。

3.輸入驗(yàn)證前端+后端雙重校驗(yàn)

• 前端做初步過(guò)濾（如限制文件類(lèi)型），但后端必須獨(dú)立驗(yàn)證，避免繞過(guò)。