作為協(xié)作交流的重要平臺(tái)，OA系統(tǒng)有效提高了員工的辦公效率和企業(yè)的經(jīng)濟(jì)效益，成為企業(yè)數(shù)字化建設(shè)的代名詞。但一旦OA系統(tǒng)遭受網(wǎng)絡(luò)攻擊，企業(yè)將可能面臨不可估量的重創(chuàng)。

　　近日，360安全大腦監(jiān)測(cè)到國(guó)內(nèi)知名協(xié)同管理軟件——致遠(yuǎn)OA網(wǎng)站出現(xiàn)掛馬情況，不法攻擊者疑似利用該OA系統(tǒng)曝出的GetShell漏洞實(shí)施入侵活動(dòng)。

　　360安全大腦追蹤發(fā)現(xiàn)，不法攻擊者入侵后，會(huì)將該OA網(wǎng)站正常組件程序替換為門(mén)羅幣挖礦病毒程序，進(jìn)而利用網(wǎng)站服務(wù)器的高速運(yùn)行能力挖礦，非法獲取不正當(dāng)利益。截止目前，攻擊者挖取到的門(mén)羅幣總價(jià)值超過(guò)10萬(wàn)人民幣。

　　對(duì)此，360安全大腦已針對(duì)此類木馬進(jìn)行了全方位的查殺和攔截，特別提醒廣大用戶需提高警惕。

　　OA漏洞慘遭木馬利用

　　企業(yè)網(wǎng)站慘變挖礦“機(jī)”

　　此次意外中招的致遠(yuǎn)OA系統(tǒng)是一款國(guó)內(nèi)知名的協(xié)同管理軟件，不僅擁有面向中小企業(yè)組織的A6+產(chǎn)品，面向中大型企業(yè)和集團(tuán)性企業(yè)組織的A8+產(chǎn)品，還有專門(mén)面向政府組織及事業(yè)單位的G6產(chǎn)品。由于出眾的運(yùn)行能力，該OA系統(tǒng)網(wǎng)站服務(wù)器受到眾多用戶的青睞。

　　擁有了廣泛的用戶基礎(chǔ)，就意味著將擁有不俗的經(jīng)濟(jì)效益，因此其也成為了不法攻擊者眼中的“礦工”良選。

　　360安全大腦分析顯示，目前攻擊主要針對(duì)使用A6及A8產(chǎn)品的網(wǎng)站，在攻擊流程上也基本一致。360安全大腦追蹤數(shù)據(jù)顯示，網(wǎng)站服務(wù)器中招后，基本會(huì)呈現(xiàn)四種情況，具體如下：

　　1. guest 賬戶會(huì)被激活。

　　2. 系統(tǒng)中會(huì)新增名為ServiceMains的服務(wù)，可通過(guò)任務(wù)管理器–服務(wù)選項(xiàng)卡查看。

　　3. A8Seeyon.exe(或A6Seeyon.exe)被替換為門(mén)羅幣挖礦程序。

　　4. D:Seeyon目錄下存在ccc.exe，此程序是名為cpolar的內(nèi)網(wǎng)穿透工具，入侵者通過(guò)此工具可以進(jìn)行遠(yuǎn)程桌面連接。

　　截止目前，已有多家部署該OA系統(tǒng)的企業(yè)網(wǎng)站被控制，淪為不法攻擊者非法獲取利益的工具。如若網(wǎng)站出現(xiàn)上述四類程序，企業(yè)用戶需及時(shí)前往OA官方網(wǎng)站下載修復(fù)補(bǔ)丁，同時(shí)下載安裝360安全衛(wèi)士進(jìn)行木馬查殺。

　　非法獲利10萬(wàn)+門(mén)羅幣

　　360安全大腦獨(dú)家披露樣本細(xì)節(jié)

　　從360安全大腦追蹤到的樣本細(xì)節(jié)來(lái)看，攻擊者會(huì)將包含惡意程序的加密壓縮包，偽裝成png圖片后，定向投放在已被攻陷網(wǎng)站，且為了防止鏈接失效，攻擊者連續(xù)設(shè)置了6個(gè)備份鏈接，以保證中招率。

　　(攻擊者連續(xù)設(shè)置備份鏈接詳情)

　　值得注意的是，360安全大腦發(fā)現(xiàn)不法攻擊者會(huì)通過(guò)讀取注冊(cè)表相關(guān)項(xiàng)的方式，判斷系統(tǒng)安裝的OA版本。如若發(fā)現(xiàn)是A8+產(chǎn)品，會(huì)執(zhí)行A8Install流程;如果是A6+產(chǎn)品，則會(huì)執(zhí)行A6Install流程，而當(dāng)在注冊(cè)表中搜索不到相關(guān)信息時(shí)，則進(jìn)入ZDY流程執(zhí)行。

　　(ZDY流程執(zhí)行)

　　如上文所述，針對(duì)不同版本的OA系統(tǒng)，攻擊流程基本一致，都是在文件解壓后，刪除原有文件，替換為惡意挖礦程序。360安全大腦數(shù)據(jù)顯示，攻擊者會(huì)根據(jù)OA版本選擇不同的替換文件，其中A8+產(chǎn)品替換A8Seeyon.exe，A6+產(chǎn)品則替換為A6Seeyou.exe，至于無(wú)法判斷版本的則會(huì)替換為A8Seeyon.exe。完成替換后，原本正常OA組件就會(huì)變成門(mén)羅幣挖礦病毒程序xmrig-notls.exe，徹底淪為攻擊者非法獲利的工具。

　　樣本分析過(guò)程中，360安全大腦發(fā)現(xiàn)攻擊者為了迷惑網(wǎng)站管理員，還會(huì)將挖礦程序(System.tmp)注冊(cè)為服務(wù)程序，并通過(guò)sc命令將其修改為極具迷惑性的服務(wù)描述。目前，360安全大腦發(fā)現(xiàn)針對(duì)該OA系統(tǒng)進(jìn)行挖礦的錢(qián)包地址主要有2個(gè)，錢(qián)包地址具體如下：

　　從上圖左邊曲線也可以看出，挖礦程序的算力正在持續(xù)攀升，也就意味著被攻破網(wǎng)站數(shù)量正在攀升，越來(lái)越多的網(wǎng)站不知不覺(jué)間，已被卷入不法攻擊者的挖礦大業(yè)中。對(duì)追蹤到的錢(qián)包賬戶進(jìn)行關(guān)聯(lián)分析后，360安全大腦發(fā)現(xiàn)多個(gè)相關(guān)賬戶，所有賬號(hào)內(nèi)的門(mén)羅幣總市值超10萬(wàn)元。

　　在發(fā)現(xiàn)此次OA網(wǎng)站掛馬事件的第一時(shí)間，360安全大腦便對(duì)此類木馬展開(kāi)持續(xù)追蹤，目前已可有效進(jìn)行攔截查殺。值得一提的是，近幾年來(lái)，意外遭受網(wǎng)絡(luò)侵襲的OA系統(tǒng)其實(shí)并非少數(shù)，為避免類似威脅態(tài)勢(shì)繼續(xù)蔓延，360安全大腦給出如下安全建議：

　　1、前往weishi.#，下載安裝360安全衛(wèi)士，對(duì)此類木馬進(jìn)行有效查殺;

　　2、定期檢測(cè)系統(tǒng)和軟件中的安全漏洞，及時(shí)打上補(bǔ)丁;

　　3、對(duì)于殺毒軟件報(bào)毒的程序，不要輕易添加信任或退出殺軟運(yùn)行;

　　4、提高安全意識(shí)，建議從正規(guī)渠道下載軟件，如官方網(wǎng)站或360軟件管家等。

特別提醒：本網(wǎng)內(nèi)容轉(zhuǎn)載自其他媒體，目的在于傳遞更多信息，并不代表本網(wǎng)贊同其觀點(diǎn)。其原創(chuàng)性以及文中陳述文字和內(nèi)容未經(jīng)本站證實(shí)，對(duì)本文以及其中全部或者部分內(nèi)容、文字的真實(shí)性、完整性、及時(shí)性本站不作任何保證或承諾，并請(qǐng)自行核實(shí)相關(guān)內(nèi)容。本站不承擔(dān)此類作品侵權(quán)行為的直接責(zé)任及連帶責(zé)任。如若本網(wǎng)有任何內(nèi)容侵犯您的權(quán)益，請(qǐng)及時(shí)聯(lián)系我們，本站將會(huì)在24小時(shí)內(nèi)處理完畢。