您的位置:首页 > 电脑软件

企业网站变挖矿“机”,360安全大脑强势截杀木马危机

发布时间:2020-08-27 00:00:00  来源:互联网     背景:

  作为协作交流的重要平台,OA系统有效提高了员工的办公效率和企业的经济效益,成为企业数字化建设的代名词。但一旦OA系统遭受网络攻击,企业将可能面临不可估量的重创。

  近日,360安全大脑监测到国内知名协同管理软件——致远OA网站出现挂马情况,不法攻击者疑似利用该OA系统曝出的GetShell漏洞实施入侵活动。

  360安全大脑追踪发现,不法攻击者入侵后,会将该OA网站正常组件程序替换为门罗币挖矿病毒程序,进而利用网站服务器的高速运行能力挖矿,非法获取不正当利益。截止目前,攻击者挖取到的门罗币总价值超过10万人民币。

  对此,360安全大脑已针对此类木马进行了全方位的查杀和拦截,特别提醒广大用户需提高警惕。

  OA漏洞惨遭木马利用

  企业网站惨变挖矿“机”

  此次意外中招的致远OA系统是一款国内知名的协同管理软件,不仅拥有面向中小企业组织的A6+产品,面向中大型企业和集团性企业组织的A8+产品,还有专门面向政府组织及事业单位的G6产品。由于出众的运行能力,该OA系统网站服务器受到众多用户的青睐。

  拥有了广泛的用户基础,就意味着将拥有不俗的经济效益,因此其也成为了不法攻击者眼中的“矿工”良选。

  360安全大脑分析显示,目前攻击主要针对使用A6及A8产品的网站,在攻击流程上也基本一致。360安全大脑追踪数据显示,网站服务器中招后,基本会呈现四种情况,具体如下:

  1. guest 账户会被激活。

  2. 系统中会新增名为ServiceMains的服务,可通过任务管理器--服务选项卡查看。

  3. A8Seeyon.exe(或A6Seeyon.exe)被替换为门罗币挖矿程序。

  4. D:\Seeyon目录下存在ccc.exe,此程序是名为cpolar的内网穿透工具,入侵者通过此工具可以进行远程桌面连接。

  截止目前,已有多家部署该OA系统的企业网站被控制,沦为不法攻击者非法获取利益的工具。如若网站出现上述四类程序,企业用户需及时前往OA官方网站下载修复补丁,同时下载安装360安全卫士进行木马查杀。

  非法获利10万+门罗币

  360安全大脑独家披露样本细节

  从360安全大脑追踪到的样本细节来看,攻击者会将包含恶意程序的加密压缩包,伪装成png图片后,定向投放在已被攻陷网站,且为了防止链接失效,攻击者连续设置了6个备份链接,以保证中招率。

  (攻击者连续设置备份链接详情)

  值得注意的是,360安全大脑发现不法攻击者会通过读取注册表相关项的方式,判断系统安装的OA版本。如若发现是A8+产品,会执行A8Install流程;如果是A6+产品,则会执行A6Install流程,而当在注册表中搜索不到相关信息时,则进入ZDY流程执行。

  (ZDY流程执行)

  如上文所述,针对不同版本的OA系统,攻击流程基本一致,都是在文件解压后,删除原有文件,替换为恶意挖矿程序。360安全大脑数据显示,攻击者会根据OA版本选择不同的替换文件,其中A8+产品替换A8Seeyon.exe,A6+产品则替换为A6Seeyou.exe,至于无法判断版本的则会替换为A8Seeyon.exe。完成替换后,原本正常OA组件就会变成门罗币挖矿病毒程序xmrig-notls.exe,彻底沦为攻击者非法获利的工具。

  样本分析过程中,360安全大脑发现攻击者为了迷惑网站管理员,还会将挖矿程序(System.tmp)注册为服务程序,并通过sc命令将其修改为极具迷惑性的服务描述。目前,360安全大脑发现针对该OA系统进行挖矿的钱包地址主要有2个,钱包地址具体如下:

3

  从上图左边曲线也可以看出,挖矿程序的算力正在持续攀升,也就意味着被攻破网站数量正在攀升,越来越多的网站不知不觉间,已被卷入不法攻击者的挖矿大业中。对追踪到的钱包账户进行关联分析后,360安全大脑发现多个相关账户,所有账号内的门罗币总市值超10万元。

  在发现此次OA网站挂马事件的第一时间,360安全大脑便对此类木马展开持续追踪,目前已可有效进行拦截查杀。值得一提的是,近几年来,意外遭受网络侵袭的OA系统其实并非少数,为避免类似威胁态势继续蔓延,360安全大脑给出如下安全建议:

  1、前往weishi.360.cn,下载安装360安全卫士,对此类木马进行有效查杀;

  2、定期检测系统和软件中的安全漏洞,及时打上补丁;

  3、对于杀毒软件报毒的程序,不要轻易添加信任或退出杀软运行;

  4、提高安全意识,建议从正规渠道下载软件,如官方网站或360软件管家等。

特别提醒:本网内容转载自其他媒体,目的在于传递更多信息,并不代表本网赞同其观点。其原创性以及文中陈述文字和内容未经本站证实,对本文以及其中全部或者部分内容、文字的真实性、完整性、及时性本站不作任何保证或承诺,并请自行核实相关内容。本站不承担此类作品侵权行为的直接责任及连带责任。如若本网有任何内容侵犯您的权益,请及时联系我们,本站将会在24小时内处理完毕。


返回网站首页

本文评论
火狐Firefox Preview安卓版新增支持扩展
Firefox Preview是Mozilla在2019年上半年推出的全新Android Web浏览器。该浏览器的渲染引擎 GeckoVi......
日期:02-06
价格暴涨 全线缺货 最近Intel处理器缘何如此疯狂
最近几天,笔者在微博收到了越来越多的网友私信,表示Intel第八代酷睿处理器出现了大面积的价格暴涨......
日期:09-12
Edge新特性:浏览InPrivate时可始终使用“严格”追踪防护
援引外媒 TechDows 报道,Edge Canary 频道最新版本中带来了一项新特性,允许在浏览 InPrivate 时始......
日期:07-13
企业网站变挖矿“机”,360安全大脑强势截杀木马危机
作为协作交流的重要平台,OA系统有效提高了员工的办公效率和企业的经济效益,成为企业数字化建设的......
日期:08-27
微星推出曲面电竞显示器:1500R曲率/165Hz刷新率/1ms响应时间
9月3日消息 日前,微星推出了一款新的曲面电竞显示器,型号为MAG Optix G27C4,这款电竞屏曲率为150......
日期:09-03
2020春运即将开始,快票出行多元化抢票蓄势待发
11月随着感恩节的到了,已经悄无声息的离开,十二月悄悄的到来了,2020春运也即将开始。...
日期:11-29
微软 Chromium 版 Edge 密码监视器发布:提醒暗网泄露密码
3月31日消息 今天,微软为Edge浏览器引入了一项名为“密码监视器”的新功能。全新的密码......
日期:03-31
微软IE浏览器存在远程代码执行漏洞,攻击者可借此控制系统
周一,微软向用户警告广受欢迎的Internet Explorer存在一个高危的漏洞,攻击者利用此漏洞可以接管你......
日期:09-26
Firefox 火狐浏览器 76 正式版发布:画中画,增强密码保护
Firefox 76 版本正式发布了,此版本一大亮点是增强了对在线帐户登录名和密码的保护:...
日期:05-06
Adobe即将在Premiere Pro视频编辑应用程序中发布全新自动裁剪功能
由Adobe Sensei支持的视频裁剪功能可以智能地裁剪视频,将其自动生成为正方形、竖屏或16:9等多种长......
日期:09-20
挖矿勒索两开花:安全狗提醒用户注意防范勒索病毒
防护千万条,安全第一条;补丁没打全,中毒两行泪。 近日,安全狗海青实验室接到多起客户中毒求助,经安全研究人员分析,这些病...
日期:05-28
Chrome新功能标签组下周上线:效率大增 网页强迫症舒服了
5月13日,谷歌在官方专门介绍了即将于下周上线的Chrome浏览器新功能——标签组。...
日期:05-14
LibreOffice 6.2将于2019年2月发布:或首次停止支持32位Linux系统
据今日SoftPedia消息,知名办公软件套件LibreOffice 6系列的第二个重大版本更新LibreOffice 6.2预计......
日期:10-20
微软谷歌联手,Chrome、新版Edge将支持Windows 10硬件键盘
3月31日消息 Chromium是谷歌为发展自家Chrome而启动的开源项目。微软已经在Chromium上进行协作,并......
日期:03-31
SpreadJS与Vue集成,苏宁集团『极客办公』系统开发案例
“造极”如今已成为苏宁集团的年度核心关键词。“造极”在具体工作上的体现,......
日期:09-05
新版高德地图上线支持Carplay 大家为何如此期待?
万众期待中,高德地图终于完成了CarPlay的适配。今日,高德地图iOS版上线了v8.70新版本,最大的更新......
日期:09-27
多家企业网站遭JS网页挖矿木马入侵 腾讯电脑管家精准拦截
近日,腾讯智慧安全御见威胁情报中心监测发现,陕西某能源协会网站被植入JS网页挖矿木马,同时发现......
日期:07-27
微软:Win10 版本 2004 大部分问题已解决
外媒 Windows Latest 报道,5 月底,微软推送了 Windows 10 版本 2004(又称 2020 Windows 10 更新五......
日期:08-02
微软免费实用工具集PowerToys 0.18.1 发布
PowerToys 0.18.1 发布了,这是一个修复版本,主要解决了以下问题:...
日期:05-23
不再受OEM影响:AMD宣布锐龙处理器驱动将由AMD提供
1月8日消息 AMD在日前的CES大会上带来了不少重磅新品,包括最新的锐龙3000系列移动处理器、A4和A6低......
日期:01-08