借OA漏洞入侵企業網站,360安全大腦力破“非法挖礦案”

360安全衛士發表於2020-08-27

作為協作交流的重要平臺,OA系統有效提高了員工的辦公效率和企業的經濟效益,成為企業數字化建設的代名詞。但一旦OA系統遭受網路攻擊,企業將可能面臨不可估量的重創。


近日,360安全大腦監測到國內知名協同管理軟體——致遠OA網站出現掛馬情況,不法攻擊者疑似利用該OA系統曝出的GetShell漏洞實施入侵活動。


360安全大腦追蹤發現,不法攻擊者入侵後,會將該OA網站正常元件程式替換為門羅幣挖礦病毒程式,進而利用網站伺服器的高速執行能力挖礦,非法獲取不正當利益。截止目前,攻擊者挖取到的門羅幣總價值超過10萬人民幣。


對此,360安全大腦已針對此類木馬進行了全方位的查殺和攔截,特別提醒廣大使用者需提高警惕。


OA漏洞慘遭木馬利用

企業網站慘變挖礦“機”


此次意外中招的致遠OA系統是一款國內知名的協同管理軟體,不僅擁有面向中小企業組織的A6+產品,面向中大型企業和集團性企業組織的A8+產品,還有專門面向政府組織及事業單位的G6產品。由於出眾的執行能力,該OA系統網站伺服器受到眾多使用者的青睞。


擁有了廣泛的使用者基礎,就意味著將擁有不俗的經濟效益,因此其也成為了不法攻擊者眼中的“礦工”良選。


360安全大腦分析顯示,目前攻擊主要針對使用A6及A8產品的網站,在攻擊流程上也基本一致。360安全大腦追蹤資料顯示,網站伺服器中招後,基本會呈現四種情況,具體如下:


1. guest 賬戶會被啟用。

2. 系統中會新增名為ServiceMains的服務,可透過工作管理員--服務選項卡檢視。

3. A8Seeyon.exe(或A6Seeyon.exe)被替換為門羅幣挖礦程式。

4. D:\Seeyon目錄下存在ccc.exe,此程式是名為cpolar的內網穿透工具,入侵者透過此工具可以進行遠端桌面連線。


截止目前,已有多家部署該OA系統的企業網站被控制,淪為不法攻擊者非法獲取利益的工具。如若網站出現上述四類程式,企業使用者需及時前往OA官方網站下載修復補丁,同時下載安裝360安全衛士進行木馬查殺。


借OA漏洞入侵企業網站,360安全大腦力破“非法挖礦案”


非法獲利10萬+門羅幣

360安全大腦獨家披露樣本細節


從360安全大腦追蹤到的樣本細節來看,攻擊者會將包含惡意程式的加密壓縮包,偽裝成png圖片後,定向投放在已被攻陷網站,且為了防止連結失效,攻擊者連續設定了6個備份連結,以保證中招率。


借OA漏洞入侵企業網站,360安全大腦力破“非法挖礦案”

(攻擊者連續設定備份連結詳情)


值得注意的是,360安全大腦發現不法攻擊者會透過讀取登錄檔相關項的方式,判斷系統安裝的OA版本。如若發現是A8+產品,會執行A8Install流程;如果是A6+產品,則會執行A6Install流程,而當在登錄檔中搜尋不到相關資訊時,則進入ZDY流程執行。


借OA漏洞入侵企業網站,360安全大腦力破“非法挖礦案”

(ZDY流程執行)


如上文所述,針對不同版本的OA系統,攻擊流程基本一致,都是在檔案解壓後,刪除原有檔案,替換為惡意挖礦程式。360安全大腦資料顯示,攻擊者會根據OA版本選擇不同的替換檔案,其中A8+產品替換A8Seeyon.exe,A6+產品則替換為A6Seeyou.exe,至於無法判斷版本的則會替換為A8Seeyon.exe。完成替換後,原本正常OA元件就會變成門羅幣挖礦病毒程式xmrig-notls.exe,徹底淪為攻擊者非法獲利的工具。


樣本分析過程中,360安全大腦發現攻擊者為了迷惑網站管理員,還會將挖礦程式(System.tmp)註冊為服務程式,並透過sc命令將其修改為極具迷惑性的服務描述。目前,360安全大腦發現針對該OA系統進行挖礦的錢包地址主要有2個,錢包地址具體如下:


借OA漏洞入侵企業網站,360安全大腦力破“非法挖礦案”


從上圖左邊曲線也可以看出,挖礦程式的算力正在持續攀升,也就意味著被攻破網站數量正在攀升,越來越多的網站不知不覺間,已被捲入不法攻擊者的挖礦大業中。對追蹤到的錢包賬戶進行關聯分析後,360安全大腦發現多個相關賬戶,所有賬號內的門羅幣總市值超10萬元。


借OA漏洞入侵企業網站,360安全大腦力破“非法挖礦案”


在發現此次OA網站掛馬事件的第一時間,360安全大腦便對此類木馬展開持續追蹤,目前已可有效進行攔截查殺。值得一提的是,近幾年來,意外遭受網路侵襲的OA系統其實並非少數,為避免類似威脅態勢繼續蔓延,360安全大腦給出如下安全建議:


1、前往weishi.360.cn,下載安裝360安全衛士,對此類木馬進行有效查殺;

2、定期檢測系統和軟體中的安全漏洞,及時打上補丁;

3、對於防毒軟體報毒的程式,不要輕易新增信任或退出殺軟執行;

4、提高安全意識,建議從正規渠道下載軟體,如官方網站或360軟體管家等。


借OA漏洞入侵企業網站,360安全大腦力破“非法挖礦案”


相關文章