作為協(xié)作交流的重要平臺，OA系統(tǒng)有效提高了員工的辦公效率和企業(yè)的經(jīng)濟效益，成為企業(yè)數(shù)字化建設的代名詞。但一旦OA系統(tǒng)遭受網(wǎng)絡攻擊，企業(yè)將可能面臨不可估量的重創(chuàng)。

　　近日，360安全大腦監(jiān)測到國內(nèi)知名協(xié)同管理軟件——致遠OA網(wǎng)站出現(xiàn)掛馬情況，不法攻擊者疑似利用該OA系統(tǒng)曝出的GetShell漏洞實施入侵活動。

　　360安全大腦追蹤發(fā)現(xiàn)，不法攻擊者入侵后，會將該OA網(wǎng)站正常組件程序替換為門羅幣挖礦病毒程序，進而利用網(wǎng)站服務器的高速運行能力挖礦，非法獲取不正當利益。截止目前，攻擊者挖取到的門羅幣總價值超過10萬人民幣。

　　對此，360安全大腦已針對此類木馬進行了全方位的查殺和攔截，特別提醒廣大用戶需提高警惕。

　　OA漏洞慘遭木馬利用

　　企業(yè)網(wǎng)站慘變挖礦“機”

　　此次意外中招的致遠OA系統(tǒng)是一款國內(nèi)知名的協(xié)同管理軟件，不僅擁有面向中小企業(yè)組織的A6+產(chǎn)品，面向中大型企業(yè)和集團性企業(yè)組織的A8+產(chǎn)品，還有專門面向政府組織及事業(yè)單位的G6產(chǎn)品。由于出眾的運行能力，該OA系統(tǒng)網(wǎng)站服務器受到眾多用戶的青睞。

　　擁有了廣泛的用戶基礎，就意味著將擁有不俗的經(jīng)濟效益，因此其也成為了不法攻擊者眼中的“礦工”良選。

　　360安全大腦分析顯示，目前攻擊主要針對使用A6及A8產(chǎn)品的網(wǎng)站，在攻擊流程上也基本一致。360安全大腦追蹤數(shù)據(jù)顯示，網(wǎng)站服務器中招后，基本會呈現(xiàn)四種情況，具體如下：

　　1. guest 賬戶會被激活。

　　2. 系統(tǒng)中會新增名為ServiceMains的服務，可通過任務管理器–服務選項卡查看。

　　3. A8Seeyon.exe(或A6Seeyon.exe)被替換為門羅幣挖礦程序。

　　4. D:Seeyon目錄下存在ccc.exe，此程序是名為cpolar的內(nèi)網(wǎng)穿透工具，入侵者通過此工具可以進行遠程桌面連接。

　　截止目前，已有多家部署該OA系統(tǒng)的企業(yè)網(wǎng)站被控制，淪為不法攻擊者非法獲取利益的工具。如若網(wǎng)站出現(xiàn)上述四類程序，企業(yè)用戶需及時前往OA官方網(wǎng)站下載修復補丁，同時下載安裝360安全衛(wèi)士進行木馬查殺。

　　非法獲利10萬+門羅幣

　　360安全大腦獨家披露樣本細節(jié)

　　從360安全大腦追蹤到的樣本細節(jié)來看，攻擊者會將包含惡意程序的加密壓縮包，偽裝成png圖片后，定向投放在已被攻陷網(wǎng)站，且為了防止鏈接失效，攻擊者連續(xù)設置了6個備份鏈接，以保證中招率。

　　(攻擊者連續(xù)設置備份鏈接詳情)

　　值得注意的是，360安全大腦發(fā)現(xiàn)不法攻擊者會通過讀取注冊表相關(guān)項的方式，判斷系統(tǒng)安裝的OA版本。如若發(fā)現(xiàn)是A8+產(chǎn)品，會執(zhí)行A8Install流程;如果是A6+產(chǎn)品，則會執(zhí)行A6Install流程，而當在注冊表中搜索不到相關(guān)信息時，則進入ZDY流程執(zhí)行。

　　(ZDY流程執(zhí)行)

　　如上文所述，針對不同版本的OA系統(tǒng)，攻擊流程基本一致，都是在文件解壓后，刪除原有文件，替換為惡意挖礦程序。360安全大腦數(shù)據(jù)顯示，攻擊者會根據(jù)OA版本選擇不同的替換文件，其中A8+產(chǎn)品替換A8Seeyon.exe，A6+產(chǎn)品則替換為A6Seeyou.exe，至于無法判斷版本的則會替換為A8Seeyon.exe。完成替換后，原本正常OA組件就會變成門羅幣挖礦病毒程序xmrig-notls.exe，徹底淪為攻擊者非法獲利的工具。

　　樣本分析過程中，360安全大腦發(fā)現(xiàn)攻擊者為了迷惑網(wǎng)站管理員，還會將挖礦程序(System.tmp)注冊為服務程序，并通過sc命令將其修改為極具迷惑性的服務描述。目前，360安全大腦發(fā)現(xiàn)針對該OA系統(tǒng)進行挖礦的錢包地址主要有2個，錢包地址具體如下：

　　從上圖左邊曲線也可以看出，挖礦程序的算力正在持續(xù)攀升，也就意味著被攻破網(wǎng)站數(shù)量正在攀升，越來越多的網(wǎng)站不知不覺間，已被卷入不法攻擊者的挖礦大業(yè)中。對追蹤到的錢包賬戶進行關(guān)聯(lián)分析后，360安全大腦發(fā)現(xiàn)多個相關(guān)賬戶，所有賬號內(nèi)的門羅幣總市值超10萬元。

　　在發(fā)現(xiàn)此次OA網(wǎng)站掛馬事件的第一時間，360安全大腦便對此類木馬展開持續(xù)追蹤，目前已可有效進行攔截查殺。值得一提的是，近幾年來，意外遭受網(wǎng)絡侵襲的OA系統(tǒng)其實并非少數(shù)，為避免類似威脅態(tài)勢繼續(xù)蔓延，360安全大腦給出如下安全建議：

　　1、前往weishi.#，下載安裝360安全衛(wèi)士，對此類木馬進行有效查殺;

　　2、定期檢測系統(tǒng)和軟件中的安全漏洞，及時打上補丁;

　　3、對于殺毒軟件報毒的程序，不要輕易添加信任或退出殺軟運行;

　　4、提高安全意識，建議從正規(guī)渠道下載軟件，如官方網(wǎng)站或360軟件管家等。

特別提醒：本網(wǎng)內(nèi)容轉(zhuǎn)載自其他媒體，目的在于傳遞更多信息，并不代表本網(wǎng)贊同其觀點。其原創(chuàng)性以及文中陳述文字和內(nèi)容未經(jīng)本站證實，對本文以及其中全部或者部分內(nèi)容、文字的真實性、完整性、及時性本站不作任何保證或承諾，并請自行核實相關(guān)內(nèi)容。本站不承擔此類作品侵權(quán)行為的直接責任及連帶責任。如若本網(wǎng)有任何內(nèi)容侵犯您的權(quán)益，請及時聯(lián)系我們，本站將會在24小時內(nèi)處理完畢。