一、概述

近期不法分子利用流行企业办公软件畅捷通T+的任意文件上传漏洞（0day），上传恶意文件并投放勒索病毒，对用户机器内的文件进行加密，要求支付赎金0.2比特币（约2.8万元***）。目前已有大量用户中招，且该勒索无法解密。

本文主要通过对这一“漏洞利用 + 勒索病毒利用”的安全事件进行分析，希望给予读者朋友专业的处置和防范建议。

二、漏洞利用

2022年8月29日和8月30日，畅捷通公司紧急发布安全补丁修复了畅捷通T+软件任意文件上传漏洞。未经身份认证的攻击者利用该漏洞，通过绕过系统鉴权，在特定配置环境下实现任意文件的上传，从而执行任意代码，获得服务器控制权限。目前，已有用户被不法分子利用该漏洞进行勒索病毒攻击的情况出现。

漏洞影响范围：

畅捷通T+： 17.000.000.0000--17.000.000.0101

畅捷通T+： 16.000.000.0000--16.000.000.0264

畅捷通T+： 15.000.000.0000--15.000.000.0311

畅捷通T+： 13.000.000.0000--13.000.001.0379

畅捷通T+： 12.000.000.0000--12.300.004.0005

造成漏洞的原因是Upload.aspx文件对用户上传的内容验证不足，攻击者可构造恶意请求上传恶意文件，从而执行任意代码，控制服务器。安全狗已对漏洞进行复现，具体利用细节暂不公开。

图1

图2

三、勒索攻击事件分析  

此次攻击事件，利用了ASP.NET可加载本地DLL文件的特性，提前将aspx页面和bin文件进行编译，并利用任意文件上传漏洞将执行所需的三个文件

（Load.aspx、load.aspx.cdcab7d2.compiled、App_Web_load.aspx.cdcab7d2.dll）上传到服务器。

在请求Load.aspx页面时携带恶意载荷，通过load.aspx.cdcab7d2.compiled指向处理DLL：

图3

App_Web_load.aspx.cdcab7d2.dll文件指定解析目录为：~/Load.aspx

图4

当访问Load.aspx时，触发App_Web_load.aspx.cdcab7d2.dll中的__Render__control1函数，对请求内容进行提取并进行调用CreateDecryptor方法进行AES解密，随后加载到内存执行：

图5

本次携带的恶意载荷执行后对本地文件进行加密（.locked后缀）

图6

并附带READ_ME.html，要求支付0.2btc到 bc1q22xcf2667tjq9ug0fgsmxmfm2kmz321wtn4m7v以还原文件，还附加了邮箱：service@sunshinegirls.space，方便联系指导：

图7

四、响应措施与防护建议

1、响应措施

针对已中毒用户：

2、处置建议

针对未中毒用户：

17.000.000.0101

16.000.000.0264

15.000.000.0311

13.000.001.0379

12.300.004.0005

五、总结

此次的勒索病毒事件与软件供应链攻击、网络与漏洞攻击息息相关，它们数据中心服务器所面临的高频的勒索病毒植入方式。此外，需要警惕的勒索病毒植入方式还包括：U 盘蠕虫、网页挂马、软件捆绑、钓鱼邮件、通过僵尸网络分发、水坑攻击等等。在遭遇勒索病毒攻击后，企业损失的不仅仅是赎金，也可能陷入业务停顿、信誉损失、法律诉讼、人力和时间成本等困境。因此，相关用户应该予以重视。