1.典型案例 

本次案例參考去年3月期間TellYouThePass勒索病毒家族常用的攻擊手法，關于該家族的病毒分析詳情可參考【病毒分析】locked勒索病毒分析。

 2.場景還原 

2.1場景設置

在本次模擬攻擊場景中，攻擊者首先利用暢捷通CNVD-2022-60632文件上傳漏洞上傳Webshell，實施勒索病毒加密，完成整個攻擊鏈的模擬。

2.2攻擊路線圖

2.3攻擊復現

使用哥斯拉生成Webshell。

因為暢捷通T+程序都使用了預編譯，所以上傳的shell也需要先進行預編譯處理：

CMD執行

C:\Windows\Microsoft.NET\Framework\v4.0.30319>aspnet_compiler.exe -v / -p C:\Users\Anonymous\Desktop\test C:\Users\Anonymous\Desktop\test1 -fixednames

C:\Users\Anonymous\Desktop\test 為webshell存在目錄
C:\Users\Anonymous\Desktop\test1 為編譯后文件生成目錄

構造CNVD-2022-66032數據包，將webshell上傳至網站根目錄：

之后將編譯好的文件上傳至暢捷通的bin目錄下。

訪問/tplus/shell.aspx?preload=1成功觸發webshell。

可直接獲取system權限。

 3.漏洞詳情 

3.1漏洞名稱

暢捷通任意文件上傳漏洞。

3.2漏洞類型

文件上傳漏洞。

3.3漏洞描述

該漏洞發布于2022年8月，未經身份認證的攻擊者利用該漏洞，通過繞過系統鑒權，在特定配置環境下實現任意文件的上傳，從而執行任意代碼，獲得服務器控制權限。目前，已有用戶被不法分子利用該漏洞進行勒索病毒攻擊的情況出現，常見利用該漏洞進行勒索的病毒家族有：mallox、tellyouthepass等。

 4.應急響應排查 

4.1初始訪問

初始訪問使用過用友暢捷通文件上傳漏洞實現的，威脅行為者主要通過CNVD-2022-60632完成入侵，排查web日志發現存在大量的webshell連接行為：

在繼續排查過程中發現webshell為冰蝎木馬。

4.2釋放勒索病毒

之后上傳加密器完成數據加密操作。

 5.防范措施 

一、輸入驗證與過濾

1.嚴格文件類型檢查

• 白名單機制：僅允許特定擴展名（如.pdf, .docx, .jpg）上傳，拒絕其他類型。
• MIME類型驗證：服務器端校驗文件的真實MIME類型（如PDF對應application/pdf），而非依賴客戶端提交的類型。
• 文件頭檢查：通過讀取文件頭部字節（如PDF以%PDF-開頭），防止偽造擴展名。

2.文件內容掃描

• 使用殺毒軟件（如ClamAV）掃描上傳文件，檢測惡意代碼。
• 對圖片文件進行二次渲染（如ImageMagick處理），避免嵌入惡意腳本。

3.限制文件大小

• 設置合理的上傳大小上限（如10MB），防止大文件攻擊或資源耗盡。

二、存儲與權限控制

1.隔離存儲路徑

• 將上傳文件存放在Web根目錄外的獨立目錄，避免直接通過URL訪問。
• 示例：/var/uploads/ 而非 /var/www/html/uploads/。

2.重命名文件

• 生成隨機文件名（如UUID），避免攻擊者猜測路徑。
• 移除文件擴展名或強制改為靜態類型（如.txt）。

3.權限最小化

• 上傳目錄設置為不可執行（Linux下chmod 644），禁止腳本解析。
• 禁用目錄瀏覽功能，防止攻擊者遍歷文件。

三、服務器與配置加固

1.禁用危險MIME類型

• 在Web服務器（Nginx/Apache）中禁止解析高風險擴展名（如.php, .jsp）。
• Nginx示例：

location ~* \.(php|jsp)$ {
    deny all;
}

2.設置HTTP安全頭

• 添加Content-Disposition: attachment強制下載，阻止瀏覽器直接渲染文件。
• 使用CSP（內容安全策略）限制資源加載。

3.更新與補丁管理

• 定期升級暢捷通系統及依賴框架（如Java Spring、PHP），修復已知漏洞。

四、日志與監控

1.記錄上傳行為

• 記錄上傳者的IP、時間、文件名、類型等信息，便于追溯攻擊來源。

2.實時監控異常

• 設置告警機制，檢測高頻上傳、異常文件類型等行為。

五、其他防護手段

1.使用CDN或云存儲

• 將文件存儲至第三方服務（如阿里云OSS），通過其安全策略（如防盜鏈、MIME校驗）降低風險。

2.定期安全測試

• 進行滲透測試和代碼審計，重點檢查文件上傳邏輯。

3.輸入驗證前端+后端雙重校驗

• 前端做初步過濾（如限制文件類型），但后端必須獨立驗證，避免繞過。