信息无障碍通道
您的位置:首页>>电脑软件

企业网站变挖矿“机”,360安全大脑强势截杀木马危机

发布时间:2020-08-27  来源:互联网    背景: 无障碍通道

  作为协作交流的重要平台,OA系统有效提高了员工的办公效率和企业的经济效益,成为企业数字化建设的代名词。但一旦OA系统遭受网络攻击,企业将可能面临不可估量的重创。

  近日,360安全大脑监测到国内知名协同管理软件——致远OA网站出现挂马情况,不法攻击者疑似利用该OA系统曝出的GetShell漏洞实施入侵活动。

  360安全大脑追踪发现,不法攻击者入侵后,会将该OA网站正常组件程序替换为门罗币挖矿病毒程序,进而利用网站服务器的高速运行能力挖矿,非法获取不正当利益。截止目前,攻击者挖取到的门罗币总价值超过10万人民币。

  对此,360安全大脑已针对此类木马进行了全方位的查杀和拦截,特别提醒广大用户需提高警惕。

  OA漏洞惨遭木马利用

  企业网站惨变挖矿“机”

  此次意外中招的致远OA系统是一款国内知名的协同管理软件,不仅拥有面向中小企业组织的A6+产品,面向中大型企业和集团性企业组织的A8+产品,还有专门面向政府组织及事业单位的G6产品。由于出众的运行能力,该OA系统网站服务器受到众多用户的青睐。

  拥有了广泛的用户基础,就意味着将拥有不俗的经济效益,因此其也成为了不法攻击者眼中的“矿工”良选。

  360安全大脑分析显示,目前攻击主要针对使用A6及A8产品的网站,在攻击流程上也基本一致。360安全大脑追踪数据显示,网站服务器中招后,基本会呈现四种情况,具体如下:

  1. guest 账户会被激活。

  2. 系统中会新增名为ServiceMains的服务,可通过任务管理器--服务选项卡查看。

  3. A8Seeyon.exe(或A6Seeyon.exe)被替换为门罗币挖矿程序。

  4. D:\Seeyon目录下存在ccc.exe,此程序是名为cpolar的内网穿透工具,入侵者通过此工具可以进行远程桌面连接。

  截止目前,已有多家部署该OA系统的企业网站被控制,沦为不法攻击者非法获取利益的工具。如若网站出现上述四类程序,企业用户需及时前往OA官方网站下载修复补丁,同时下载安装360安全卫士进行木马查杀。

  非法获利10万+门罗币

  360安全大脑独家披露样本细节

  从360安全大脑追踪到的样本细节来看,攻击者会将包含恶意程序的加密压缩包,伪装成png图片后,定向投放在已被攻陷网站,且为了防止链接失效,攻击者连续设置了6个备份链接,以保证中招率。

  (攻击者连续设置备份链接详情)

  值得注意的是,360安全大脑发现不法攻击者会通过读取注册表相关项的方式,判断系统安装的OA版本。如若发现是A8+产品,会执行A8Install流程;如果是A6+产品,则会执行A6Install流程,而当在注册表中搜索不到相关信息时,则进入ZDY流程执行。

  (ZDY流程执行)

  如上文所述,针对不同版本的OA系统,攻击流程基本一致,都是在文件解压后,删除原有文件,替换为恶意挖矿程序。360安全大脑数据显示,攻击者会根据OA版本选择不同的替换文件,其中A8+产品替换A8Seeyon.exe,A6+产品则替换为A6Seeyou.exe,至于无法判断版本的则会替换为A8Seeyon.exe。完成替换后,原本正常OA组件就会变成门罗币挖矿病毒程序xmrig-notls.exe,彻底沦为攻击者非法获利的工具。

  样本分析过程中,360安全大脑发现攻击者为了迷惑网站管理员,还会将挖矿程序(System.tmp)注册为服务程序,并通过sc命令将其修改为极具迷惑性的服务描述。目前,360安全大脑发现针对该OA系统进行挖矿的钱包地址主要有2个,钱包地址具体如下:

3

  从上图左边曲线也可以看出,挖矿程序的算力正在持续攀升,也就意味着被攻破网站数量正在攀升,越来越多的网站不知不觉间,已被卷入不法攻击者的挖矿大业中。对追踪到的钱包账户进行关联分析后,360安全大脑发现多个相关账户,所有账号内的门罗币总市值超10万元。

  在发现此次OA网站挂马事件的第一时间,360安全大脑便对此类木马展开持续追踪,目前已可有效进行拦截查杀。值得一提的是,近几年来,意外遭受网络侵袭的OA系统其实并非少数,为避免类似威胁态势继续蔓延,360安全大脑给出如下安全建议:

  1、前往weishi.360.cn,下载安装360安全卫士,对此类木马进行有效查杀;

  2、定期检测系统和软件中的安全漏洞,及时打上补丁;

  3、对于杀毒软件报毒的程序,不要轻易添加信任或退出杀软运行;

  4、提高安全意识,建议从正规渠道下载软件,如官方网站或360软件管家等。

特别提醒:本网内容转载自其他媒体,目的在于传递更多信息,并不代表本网赞同其观点。其原创性以及文中陈述文字和内容未经本站证实,对本文以及其中全部或者部分内容、文字的真实性、完整性、及时性本站不作任何保证或承诺,并请自行核实相关内容。本站不承担此类作品侵权行为的直接责任及连带责任。如若本网有任何内容侵犯您的权益,请及时联系我们,本站将会在24小时内处理完毕。


返回网站首页 本文来源:互联网

本文评论
企业网站变挖矿“机”,360安全大脑强势截杀木马危机
作为协作交流的重要平台,OA系统有效提高了员工的办公效率和企业的经济效益,成为企业数字化建设的...
日期:08-27
热点新闻不错过 新浪新闻App推出“新浪热榜”
新鲜热点早知道,除了大家熟悉的微博热搜,“新浪热榜”也来了。近日,新浪新闻App推出了...
日期:08-27
华为钱包智闪卡斩获2020中国创新势力榜“最具创新力产品”大奖
8月21日,华为钱包参加了由艾媒咨询主办的“2020全球未来科技大会”夏季线上峰会,其产品...
日期:08-27
腾讯手机管家正式发布8.7版本,全方位守护手机隐私安全
近年来,互联网技术飞速发展,极大方便了用户生活,却也增加了用户个人隐私暴露的风险。网络攻击、...
日期:08-26
解决七夕选择困难症,ColorOS帮你规划约会路线
谈到出门这件事,许多人或多或少都会遇到不知道要干嘛的情况,单凭欲望驱使但没有目标,到七夕这个...
日期:08-25
怕孩子上网看见不该看的?可以换个免费的DNS试试
上网是最普遍需求之一
  2020年的疫情下,许多人的工作和学习都转到了线上,据说装宽带的大...
日期:08-24
Edge Dev新版86.0.608.2发布:改进深色主题
微软刚发布了 Edge Dev 频道新版本,最新版本号为 86.0.608.2。新版本中引入了三项功能,首先是默认...
日期:08-20
ColorOS 7.2 小功能解决大问题,有孩子的家长值得了解
随着假期即将结束,不少孩子也开始收心准备上学,收尾未完成的暑假作业。然而面对孩子不会做的题目...
日期:08-19
驱动人生  USB设备插入电脑却无法使用 怎么破解?
点击“上方”关注驱动人生
  通常我们在使用到U盘、移动硬盘、鼠标键盘等USB设备...
日期:08-19
钉钉助力“一课都不能少” 杭州柠萌之家探索抗疫线上教学
“一课都不能少!”疫情期间,致力于3-12岁儿童课外兴趣教育的杭州柠萌之家立下了这样的fl...
日期:08-19
SpreadJS 纯前端表格控件应用案例:铭天预算执行系统
由武汉铭天信息科技有限责任公司(简称:武汉铭天)为湖北省水利厅研发的“铭天预算执行系统”...
日期:08-18
国内首家!360极速浏览器新增防追踪功能应对隐私威胁
近日,360极速浏览器宣布将正式上线隐私防追踪功能,可以通过辨别多种追踪技术并对其加以封锁,来防...
日期:08-17
神奇的讯飞输入法超好玩 DIY皮肤高颜能打不重样
每天都会见面的手机输入法是当前人机交互的主要工具之一,而输入法皮肤一直是我们与网络世界联结的...
日期:08-17
QQ PC 版 9.3.7 正式版发布:加入截图翻译功能 / 全屏输入模式
IT之家 8 月 15 日消息 据IT之家网友反馈,腾讯近日正式发布了 QQ PC 版 9.3.7,增加多项新功能。
日期:08-15
微软不断供你就坐得住?办公软件有WPS,但操作系统差距有点大!
8月9日,有自媒体爆料,声称收到微软官方邮件,其中对服务协议做了更新,内容写到:如因不可抗力导...
日期:08-14
开学在即金山文档功能再升级,收集信息支持手写签名
日前,北京市新冠肺炎疫情防控工作领导小组办公室下发了《关于做好全市各级各类学校2020-2021学年秋...
日期:08-14
勒索病毒趁聊天机器人“关停”再掀风浪,360安全大脑率先截杀
聊天机器人,一种自动回复好友、群消息、私聊的聊天小工具。最近,这种机器人却因“关停&rdquo...
日期:08-12
鱼塘软件|电商“劫”,其实真的可以有最优解!
现如今,电商已经是国民经济的重要组成部分,成为人们生活中不可或缺的一部分。
日期:08-10
金山办公赋能广西信创 打造基础软件产业标杆

金山办公赋能广西信创 打造基础软件产业标杆

日期:08-07
Mozilla Firefox引入ETP 2.0功能 扩大跟踪保护
Mozilla 安全博客介绍了 即将在未来几周推送给 Firefox 用户的增强隐私保护功能 Enhanced Tracking...
日期:08-06
  专栏介绍
即时新闻 的专栏
即时新闻发表的文章
积分:
自我介绍 :