用友畅捷通T+遭受批量勒索攻击处置手册

事件概述

8月29日开始，绿盟科技CERT团队陆续接到多个客户反馈，其用友软件服务器遭受勒索病毒攻击，具体表现为文件后缀被加密为.locked，勒索信息文件READ_ME.HTML中包含了攻击者的邮箱（service@sunshinegirls.space）及BTC钱包地址。

遭受勒索攻击的服务器均安装了用友畅捷通T+软件，文件加密时间集中在8月28日22:00至8月29日凌晨期间，通过加密文件特征分析，确认此次勒索病毒为TellYouThePass变种，绿盟科技CERT前期已处置过多起该勒索家族针对用友系列漏洞的攻击事件。

查询勒索信息文件READ_ME.HTML中公布的BTC钱包地址（bc1q22xcf2667tjq9ug0fgsmxmfm2kmz32lwtn4m7v），截止目前该地址共收到两笔转账，包括一笔0.2BTC和一笔0.1BTC。

后门分析

在被感染主机的用友畅捷通T+软件安装目录（如：D:\Chanjet\TPlusPro\WebSite\bin）下，发现了攻击者投递的后门文件App_Web_load.aspx.cdcab7d2.dll，该文件为微软的aspnet_compiler.exe进行预编译而生成，经过反编译，可看到其源码内容。

经过分析后门文件源代码，确认其特征与冰蝎3.0.5的服务端代码一致，可通过冰蝎Webshell客户端进行连接。

漏洞利用

通过对后门文件及攻击链进行分析，确认攻击者利用了用友旗下畅捷通T+产品存在的任意文件上传0day漏洞，该漏洞允许未经身份认证的远程攻击者通过构造特定请求，可将恶意文件上传至目标系统，从而执行任意代码。

用友畅捷通T+是一款基于互联网的新型企业管理软件，功能模块包括：财务管理、采购管理、库存管理等。主要针对中小型工贸和商贸企业的财务业务一体化应用，融入了社交化、移动化、物联网、电子商务、互联网信息订阅等元素。

漏洞根源在于Upload.aspx文件存在认证缺陷，向该文件传递preload参数可直接绕过系统权限认证，从而实现任意文件上传，漏洞影响范围为畅捷通T+ <= v17.0。

产品检测

绿盟科技远程安全评估系统（RSAS）、WEB应用漏洞扫描系统(WVSS)、综合威胁探针（UTS）与智能安全运营平台（ISOP）已具备对此次漏洞的扫描与监测能力，请有部署以上设备的用户升级至最新版本。