某软件疑似漏洞导致勒索事件——用户处置手册

文档修订记录

文档版本

修订时间

备注

V1.0

2022.8.29 04 PM

漏洞的复现和防护方案

V2.0

2022.8.30 11 AM

新增主机安全、云防火墙查杀阻断说明

一、事件概述

2022.8.29 陆续收到客户反馈服务器被勒索，勒索病毒入侵事件2022.8.28 03 PM 开始，通过分析发现客户均使用了某SaaS软件系统，初步怀疑可能是系统存在漏洞导致。

二、漏洞官方修复建议

1、修复建议

针对低版本iis和nginx可能存在的安全隐患进行产品安全加固，补丁下载地址：产品更新

2、缓解建议

三、使用云原生安全产品漏洞防御指南

1、开启“三道防线防护”

腾讯云原生安全产品将向符合条件且未试用过产品的企业用户限时开放 7 天免费试用，领取试用后通过简单的几个步骤即可完成防护接入。为了完成对漏洞的检测、防护、修复，建议开启云防火墙、Web应用防火墙、主机安全三款产品的试用。其中，腾讯主机安全支持检测与防护非腾讯云机器，可实现混合云统一防护。

（1）一键领取试用（已购客户可跳过）

https://console.cloud.tencent.com/cfw/ptcenter

（2）主机安全支持混合云部署

登录腾讯主机安全控制台，于【主机列表】界面接入非腾讯云机器，即可防护非腾讯云机器。主机安全-主机列表

2 、漏洞检测

（1）云服务器：使用腾讯T-Sec主机安全（云镜）检测漏洞

登录腾讯主机安全控制台，对应急漏洞进行排查。步骤细节如下：

（本漏洞由于细节暂未公布，暂不支持检测）

1）主机安全（云镜）控制台：如当前进入【授权管理】页面绑定主机安全授权，选中“绑定授权”并选择待扫描机器；

2）可以在【资产指纹】->进程，输入以下进程进行排查：

Ufida.T.Tool.WebService.exe

Chanjet.TP.WebServer.Nginx.exe

Chanjet.TP.WebServer.FastCgi.exe

Chanjet.TP.WebServer.Nginx.exe

3）（当前该漏洞暂未支持检测，可先参考步骤2进行进程排查）打开【漏洞管理】->应急漏洞，点击“一键扫描”或通过名称搜索该漏洞“立即扫描”，选择应急漏洞和扫描资产范围即可：

4）查看扫描到的漏洞风险项目；

5）确认资产存在漏洞风险；

6）升级到安全版本；

7）回到主机安全（云镜）控制台再次打开【漏洞管理】，重新检测确保资产不受漏洞影响。

（2）容器镜像：使用腾讯容器安全服务（TCSS）检测容器镜像漏洞

登录腾讯容器安全服务控制台，进入【漏洞管理】页面，对本地镜像和仓库镜像进行排查。步骤细节如下：

1）容器安全服务控制台：打开【漏洞管理】->应急漏洞点击“一键检测”或“检测应急漏洞”；

2）如镜像尚未授权可以点击批量授权，自选镜像授权扫描；

3）扫描完毕，单击详情确认资产存在漏洞风险；

4）升级到安全版本；

5）回到容器安全服务控制台再次打开【漏洞管理】，重新检测确保资产不受漏洞影响。

3、漏洞防御

根据业务类型可选择云防火墙虚拟补丁、Web应用防火墙基础安全、云防火墙零信任防护进行防护：

业务类型

防护产品

产品功能

公网IP业务

云防火墙

虚拟补丁

暴露公网的内部服务（推荐）

云防火墙

零信任防护

域名业务

Web应用防火墙

基础安全

（1）公网IP业务防护：使用腾讯T-Sec云防火墙虚拟补丁

适用于绑定公网IP对外提供服务的业务类型，通过虚拟补丁功能，一键开启针对漏洞利用的检测与自动拦截，无需重启服务。步骤细节如下：

1）登录腾讯T-Sec云防火墙控制台，开启互联网边界开关；

2）进入【入侵防御】页面，开启拦截模式即可抵御漏洞利用攻击；

3）进入【访问控制】页面，配置企业安全组，封禁以下IP对资产访问（需要封禁的IP列表参照 四、腾讯威胁情报实时更新）。

（2）域名业务防护：使用腾讯T-Sec Web应用防火墙（WAF）防御漏洞攻击

适用于通过域名对外提供服务的业务类型，通过WAF可实现针对HTTP/HTTPS流量的漏洞防护与虚拟补丁

1）确认业务是否已经接入Web应用防火墙（以下简称WAF）：

业务在腾讯云外，领用SaaS-WAF（需做域名调度）

详细接入指引：https://cloud.tencent.com/document/product/627/18631

业务在腾讯云内且有七层CLB，领用CLB-WAF（无需业务变动）

详细接入指引：https://cloud.tencent.com/document/product/627/40765

2）登录腾讯T-Sec Web应用防火墙控制台，依次打开左侧【资产中心-域名列表】，添加域名并开启防护即可。步骤细节如下：

Web应用防火墙控制台：【资产中心—域名列表】，点击【添加域名】。

SaaS-WAF 域名接入：输入域名，配置端口，源站地址或者域名，点击确定即可。新增域名成功后【资产中心—基础安全】防护默认打开。

CLB-WAF（负载均衡型）域名接入：输入域名，配置代理，负载均衡监听器，点击确定即可。新增域名成功后【资产中心—基础安全】防护默认打开。

域名列表查看配置，防护开关、回源IP等接入情况，确认接入成功。

（3）内部Web服务防护：使用腾讯T-Sec云防火墙零信任防护

适用于需要开放在公网的内部Web服务，通过云防火墙零信任防护方案，实现基于微信扫码的身份认证访问，杜绝所有0day、1day漏洞带来的潜在危害

1）在微信身份管理页面添加用户，绑定微信号并备注；

2）配置该运维用户从公网进行访问的远程实例和域名。

四、腾讯威胁情报实时更新

IOC类型

最近更新时间

详情

C2回连IP攻击者IP

2022-08-29 08 PM

61.132.226.130 194.156.98.76

五、时间线

2022年8月29日 11 AM，通过用户工单发现勒索攻击2022年8月29日 04 PM，复现漏洞并分析漏洞特征

六、参考链接

如需获得帮助可以直接扫码联系我们：

原创声明，本文系作者授权腾讯云开发者社区发表，未经许可，不得转载。

如有侵权，请联系 本站 删除。