攻击者利用多个OA系统漏洞攻击云主机，腾讯云防火墙全面拦截

长按二维码关注

一、概述

近日，腾讯安全云原生预警系统通过腾讯云防火墙观测到，有攻击者利用万户OA、通达OA、用友NC等多个OA系统存在的文件上传漏洞、远程命令执行漏洞对云上主机展开攻击，意图植入webshell，对主机进行持久化渗透。若攻击得手，会植入DDoS攻击木马和挖矿木马，控制失陷主机组建僵尸网络，通过DDoS攻击和挖矿黑产牟利。已部署腾讯云防火墙的云主机均安然无恙。

腾讯安全云原生安全产品均已支持对上述相关OA系统漏洞利用的检测防护。腾讯安全专家指出，攻击者利用的这些OA系统漏洞均为已知且已修复的高危漏洞，建议政企客户安全运维人员尽快将相应的OA系统升级到最新版本，避免业务系统被黑客攻击控制。

二、腾讯云防火墙拦截攻击的典型案例

案例1：
腾讯云防火墙检测到攻击者使用万户OA任意文件上传漏洞尝试攻击，向目标主机植入WebShell：

案例2：
腾讯云防火墙检测到攻击者使用通达OA任意文件上传漏洞尝试攻击，向目标主机植入WebShell：

案例3：
腾讯云防火墙检测到攻击者使用用友NC 的bsh.servlet.BshServlet命令执行漏洞尝试攻击，利用植入的恶意脚本投递部署挖矿组件包：

植入的vbs恶意脚本进一步拉取hxxp://160.116.125.170/c.exe到c:/user目录执行

c.exe为xmr挖矿木马自解包，用来进行门罗币挖矿。

案例4：
腾讯云防火墙检测到攻击者使用用友NC的bsh.servlet.BshServlet漏洞尝试攻击，传播dofloo僵尸木马：

载荷投递地址：hxxp://209.141.34.100/Linux2.6，dofloo僵尸木马外联C2：209.141.34.100

案例5：
腾讯云防火墙检测到攻击者使用泛微OA的WorkflowServicexml漏洞尝试攻击，入侵植入Windows平台DDoS后门木马：

载荷投递地址：hxxp://213.202.230.103，Windows平台DDoS后门木马连接C2：185.207.153.148。

对攻击者基础设施进一步溯源，发现还会投递其它类型木马，例如针对Linux平台攻击传播的Billgates-DDoS僵尸网络木马，xmrig挖矿木马等等。

Linux-Billgates僵尸网络木马外联C2：115.231.218.64、300gsyn.it

进一步溯源可找到攻击者使用的Billgates木马主控端，及生成器，主控功能主要为操作被控主机发起网络攻击，及执行任意命令。

三、腾讯安全解决方案

攻击者所使用僵尸网络木马、挖矿木马相关威胁数据已加入腾讯安全威胁情报数据库，赋能给腾讯全系列安全产品，客户可以通过订阅腾讯安全威胁情报产品，让全网安全设备同步具备相应的威胁检测、防御、阻断能力。推荐政企客户在公有云中部署腾讯云防火墙、腾讯主机安全（云镜）、腾讯web应用防火墙等安全产品检测防御相关威胁。

腾讯主机安全（云镜）可对病毒攻击过程中产生得木马落地文件进行自动检测，客户可登录腾讯云->主机安全控制台，检查病毒木马告警信息，将恶意木马文件一键隔离或删除。客户可通过腾讯主机安全的漏洞管理、基线管理功能对企业网络资产进行全面的安全漏洞和弱口令检测。

腾讯云防火墙支持对本报告提及的OA系统漏洞攻击进行检测拦截，腾讯云防火墙内置虚拟补丁防御机制，可积极防御某些高危且使用率很高的漏洞利用。下图示例为腾讯云防火墙检测外部漏洞攻击事件记录。

腾讯T-Sec Web 应用防火墙（WAF）可以帮助公有云用户应对各种 Web 攻击、入侵、漏洞利用、挂马、篡改、后门、爬虫、域名劫持等网站及 Web 业务安全防护等问题。本报告提及的多个OA漏洞利用，腾讯web应用防火墙均已支持检测防护。

私有云客户可通过旁路部署腾讯高级威胁检测系统（NTA、御界）进行流量检测分析，及时发现黑客团伙利用漏洞对企业私有云的攻击活动。腾讯高级威胁检测系统（NTA、御界）可检测到利用相关OA发起的高危漏洞攻击行为。

政企客户可通过旁路部署腾讯天幕（NIPS）实时拦截本报告提及的利用OA系统漏洞入侵的恶意网络连接，彻底封堵攻击流量。腾讯天幕（NIPS）基于腾讯自研安全算力算法PaaS优势，形成具备万亿级海量样本、毫秒级响应、自动智能、安全可视化等能力的网络边界协同防护体系。

欢迎长按识别以下二维码，添加腾讯安全小助手，咨询了解更多腾讯安全产品信息。

四、威胁视角看攻击行为

ATT&CK阶段	行为
侦察	扫描探测，确认存在可攻击的OA系统
资源开发	注册C2服务器
初始访问	利用对外开放的OA系统，植入恶意命令执行恶意命令进而入侵系统植入恶意脚本
执行	利用漏洞植入恶意命令，最终下载植入WebSheLl，僵尸网络木马，XMR挖矿矿工。
持久化	通过注册表，服务，计划任务，系统工具劫持方式进行持久化。
发现	通过扫描探测开放的OA系统确认后续漏洞攻击方式
影响	门罗币矿机模块不间断的工作，会导致系统CPU负载过大，大量消耗主机CPU资源，严重影响主机正常服务运行，导致主机有系统崩溃风险。DDOS僵尸木马具备下载执行等后门功能，持久化的webshell后门。都将给服务器带来不可预料的各类型网络风险。

IOCs

MD5

b69632e70ab7d63018b1e127cc851359
a7e1ac7edc77477183eccaaf0e0d3245
6f11dddb5a10a029a034b609ac54952d
9eb8c2ce21be0b6f778806b9875f1368
52ee1db0410a334aaacb401316f45046
73129b0b69d5d0f9af5f18643cca799e
889d91ab9ef2ad48ad90a7fa87d3fc81
7e6b1473161ca0267f05870d55a10d77
52ee1db0410a334aaacb401316f45046
9eb8c2ce21be0b6f778806b9875f1368
68efd2256bd16ce7f07e8783507e0185
38a3f9888028f7d1c41c2b278b4683cc
9858b5a3d3c3a6e9f1ed620d99bad34e
14e220c42ba420364db771a141a58553

URL

hxxp://213.202.230.103
hxxp://160.116.125.170/c.exe
hxxp://209.141.34.100/Linux2.6

115.231.218.64
300gsyn.it
185.207.153.148
209.141.34.100

关于腾讯安全威胁情报中心

腾讯安全威胁情报中心是一个涵盖全球多维数据的情报分析、威胁预警分析平台。依托顶尖安全专家团队支撑，帮助安全分析人员、安全运维人员快速、准确地对可疑威胁事件进行预警、处置和溯源分析。

长按二维码关注

腾讯安全威胁情报中心