压在透明的玻璃上c-国产精品国产一级A片精品免费-国产精品视频网-成人黄网站18秘 免费看|www.tcsft.com

事件概述

近日，綠盟科技CERT監測并處置了多起針對海康威視綜合安防管理平臺的勒索攻擊事件，攻擊者利用文件上傳漏洞上傳Webshell獲取系統權限，并執行勒索病毒對文件進行加密，加密文件后綴為locked1，同時生成勒索信息文件README2.html。

根據加密后綴、勒索郵箱等信息，這些勒索事件均可關聯到TellYouThePass勒索家族，該勒索病毒目前尚無公開的解密方案。

經分析驗證，此次勒索事件涉及的漏洞為歷史已知漏洞，且相關漏洞利用代碼已在互聯網公開。通過網絡空間測繪平臺數據判斷，目前暴露在互聯網的海康威視綜合安防管理平臺有7000余個。

2病毒概述

locked1病毒是TellYouThePass勒索家族變種之一，根據前期處置的多起勒索案例進行分析，該家族主要通過已公開的Nday或未公開的0day漏洞進行大規模的無差別攻擊，且習慣利用流行的國產辦公、財務類軟件漏洞進行攻擊。

此外，TellYouThePass是一個使用Golang語言編寫的跨平臺勒索病毒，可支持對Windows及Linux系統文件進行加密，由于使用了RSA非對稱加密算法，目前尚無公開的解密密鑰或解密方案。

3漏洞概述

海康威視綜合安防管理平臺是一套“集成化”、“智能化”的平臺，通過接入視頻監控、一卡通、停車場、報警檢測等系統的設備，獲取邊緣節點數據，實現安防信息化集成與聯動。

此次勒索事件涉及的漏洞為文件上傳漏洞，該漏洞由于上傳文件接口存在校驗缺陷，導致攻擊者可通過上傳文件獲取Webshell權限，并實現任意命令執行。

該上傳漏洞為歷史已知漏洞，受影響的平臺及對應版本包括：iVMS-8700 V2.0.0 – V2.9.2、iSecure Center V1.0.0 – V1.7.0，海康威視已于2023年6月發布安全通告并提供了修復方案，參考鏈接如下：

https://www.hikvision.com/cn/support/CybersecurityCenter/SecurityNotices/2023-03/

除上述文件上傳漏洞外，該平臺歷史上還存在多個高危漏洞，且相關漏洞利用代碼均已在互聯網上公開。

4事件時間線

2023-06-21 海康威視發布綜合安防管理平臺產品漏洞通告。

2023-07-30 互聯網上出現相關漏洞的技術分析文章。

2023-08-09 相關漏洞利用代碼公開，攻擊者開始在全網探測。

2023-11-15 TellYouThePass勒索家族利用文件上傳漏洞，進行批量攻擊。

5攻擊排查

通過工具或命令行方式，排查綜合安防管理平臺相關web目錄下是否存在異常jsp或jspx腳本文件， windows平臺web目錄路徑如：D:\\\\hikvision\\\\web\\\\opsMgrCenter\\\\bin\\\\tomcat\\\\apache-tomcat\\\\webapps\\\\clusterMgr

Linux平臺web目錄路徑如：/opt/hikvision/web/components/tomcat85linux64.1/webapps/els/static

由于該平臺默認并未啟用web訪問日志，導致無法通過日志對攻擊行為進行分析，如存在第三方的日志平臺，可檢索相關上傳接口是否存在異常請求，如：/center/api/files;.js、/center/api/files;.html、/center/api/files;.png等。

此外，通過平臺報錯日志@bic.center.error.log，可排查是否存在漏洞利用痕跡，windows平臺日志文件路徑如：D:/hikvision/web/opsMgrCenter/logs/opsmgr_center。

6攻擊IOC

7防護建議

1、梳理內網及互聯網邊界，檢查是否存在海康威視綜合安防管理平臺，并根據上述官方漏洞通告，及時更新平臺版本。

2、對綜合安防管理平臺進行必要的安全加固，包括降權平臺運行賬戶，以防止攻擊者利用web漏洞直接獲取主機控制權限；啟用web訪問日志，以在事后對漏洞利用及攻擊行為進行分析溯源。

3、面對勒索攻擊，在做好安全防護的同時，數據備份是最行之有效的對抗方案，可通過私有云、存儲設備、網絡同步等方式，定期對重要業務數據進行備份并妥善保管。

來源：綠盟科技CERT