深信服EDR成功拦截利用Apache Log4j2漏洞Tellyouthepass 勒索，警惕攻击OA系统

千里目安全实验室漏洞 2021-12-15 10:38:29

1077649

导语：近日，Apache Log4j2远程代码执行高危漏洞（CVE-2021-44228）被曝光，各类攻击团伙乘虚而入，经深信服云端数据监测，已经出现团伙利用此漏洞发起勒索攻击。

近日，Apache Log4j2远程代码执行高危漏洞（CVE-2021-44228）被曝光，各类攻击团伙乘虚而入，经深信服云端数据监测，已经出现团伙利用此漏洞发起勒索攻击。

12月13日，深信服终端安全团队和安服应急响应中心联合监测到一个名为Tellyouthepass的勒索病毒，该团伙已对双平台进行攻击。深信服捕获到大量Tellyouthepass勒索病毒拦截日志，如图所示。

图片1.png

重点关注！遭受Tellyouthepass勒索攻击均为某OA系统

仅在12月12日17:00-19：00、12月13日17:00-19：00时间段内，已有多个省份不同行业的用户数据遭到加密，且均为某OA系统。

图片2.png

（数据来源：深信服威胁情报团队）

该团伙主要利用漏洞公开到修复的时间差进行批量扫描攻击，由于漏洞已具有完整的POC，使其具有集成快、覆盖范围广、攻击时难以感知的特点。与常规的勒索病毒攻击相比，此类攻击的受影响较大的是存在漏洞的服务器，暂不具有内网自动横向的功能，但加密后数据无法直接解密，同样面临高额的勒索赎金。

云端监测

深信服安全专家通过云蜜罐和云端防护日志监测，Tellyouthepass勒索针对某OA系统和某开源项目使用log4j2的漏洞共发起上千次起攻击，且通过深信服EDR云端拦截日志发现同一时间出现大量Tellyouthepass勒索病毒拦截记录。

12月12日 18:07:21

终端日志排查，攻击者利用漏洞进行入侵；

图片3.png

终端日志

12月12日 18:08:25

EDR查杀日志排查，深信服EDR拦截阻断勒索病毒加密，并自动进行隔离；

图片4.png

EDR查杀日志

双平台病毒分析

Windows系统

针对捕获的勒索病毒样本，安全专家进行了深入分析，针对该团伙利用CVE-2021-44228进行批量攻击，执行命令后下载勒索病毒文件到C:\debug.exe并执行，病毒执行后与后台IP进行通信：

图片5.png

对主机磁盘进行扫描

图片6.png

对每个磁盘下的文件进行扫描

图片7.png

在每个目录下写入README.html文件

图片8.png 对文件进行加密。

图片9.png

释放勒索信内容如下

图片10.png 加密后的文件如下，会修改文件后缀为.locked

图片11.png

Linux系统

Linux系统的勒索病毒行为相似，在入侵后执行文件，与后台IP进行通信：

图片13.png

停止关键服务：

图片14.png

扫描linux文件路径：

图片15.png

写入勒索文本：

图片16.png

找到可加密的文件后通知加密协程：

图片17.png

勒索文本如下：

图片18.png

有效处置：终端检测响应平台EDR勒索防护策略

1. 高级威胁检测

针对此次log4j2漏洞引发的勒索恶意软件攻击，深信服终端检测响应平台EDR可提供基于终端行为和威胁情报的高级威胁检测技术。关于该漏洞利用、勒索恶意软件执行绕过、持久化等操作进行检测，深信服EDR同时支持可视化溯源完整攻击行为。

图片19.png 深信服EDR借助威胁狩猎模块，使用狩猎查询语法，可以快速筛选出内网中存在log4j2漏洞风险的主机。

图片20.png

深信服EDR集成深信服SAVE人工智能检测引擎，拥有强大的泛化能力，精准防御未知病毒，建议升级最新版本及最新病毒库，接入深信服安全云脑，及时检测防御新威胁。

图片12.png

2. 自动拦截处置

一旦检测出Tellyouthepass勒索病毒，深信服EDR可开启勒索防护功能自动处置，有效阻断勒索加密行为，保护数据安全。

3.安全运营服务

同时，深信服EDR可结合托管式安全运营服务MSS，通过以“人机共智”的服务模式，云端安全专家进行7*24小时勒索病毒监测预警，以及结合微信告警推送，全程保障用户业务安全。针对此类威胁，安全运营服务提供安全设备策略检查、安全威胁检查、相关漏洞检查等服务，确保第一时间检测风险以及更新策略，防范此类威胁。

扫码体验深信服EDR

高级威胁检测功能

微信图片_20211214103415.png