「威胁通告」关于深信服SSL VPN被境外APT组织利用并下发恶意代码
2020-04-07
一、威胁概述
4月6日,深信服官方发布通告称,有境外APT组织通过非法手段控制部分深信服SSL VPN设备,并利用客户端升级漏洞下发恶意文件到客户端,js1996官网登录对该事件密切关注,并进行了整体的梳理和分析,建议相关用户及时采取防护和应急措施。
本次漏洞为SSL VPN设备Windows客户端升级模块签名验证机制的缺陷,但利用该漏洞的条件为必须获取控制SSL VPN设备的权限。根据深信服官方的分析,此漏洞利用难度较高。官方预估,受影响的VPN设备数量有限。根据js1996官网登录安全服务团队的反馈,虽然目前已被APT组织攻陷的设备并不多,但受影响的VPN版本在国内企业中应用十分广泛。
参考链接:
https://mp.weixin.qq.com/s/lKp_3kPNEycXqfCnVPxoDw
二、影响范围
目前官方已确认以下SSL VPN版本受影响
- M6.3R1
- M6.1
三、防护建议
3.1 产品防护
此次攻击活动相关IoC信息如下:
1、C&C:103.216.221.19
2、文件名:SangforUD.EXE,MD5:a32e1202257a2945bf0f878c58490af8,
3、文件名:SangforUD.EXE,MD5:967fcf185634def5177f74b0f703bdc0
4、文件名:SangforUD.EXE,MD5:c5d5cb99291fa4b2a68b5ea3ff9d9f9a
5、文件名:e58b8de07372b9913ca2fbd3b103bb8f.virus,MD5:e58b8de07372b9913ca2fbd3b103bb8f
6、文件名:m.exe,MD5:429be60f0e444f4d9ba1255e88093721
7、文件名:93e9383ae8ad2371d457fc4c1035157d887a84bbfe66fbbb3769c5637de59c75,MD5:18427cdcb5729a194954f0a6b5c0835a
8、文件名:SANARISOR.EXE,MD5:a93ece16bf430431f9cae0125701f527
3.1.1 TAC防护
针对此次攻击活动中的恶意样本,js1996官网登录威胁分析系统(TAC)已经具备了检测能力,请部署了TAC设备的用户及时关注相关告警,并配置好阻断策略。
恶意样本:967fcf185634def5177f74b0f703bdc0
恶意样本:a32e1202257a2945bf0f878c58490af8
恶意样本:c5d5cb99291fa4b2a68b5ea3ff9d9f9a
3.1.2 威胁情报中心(NTI)
js1996官网登录威胁情报中心已支持对该事件的IoC检测,可以精准识别恶意IP及恶意文件,建议用户警惕与恶意IP 103.216.221.19相关告警信息。截止本通告发布,该C&C服务器已关闭。用户可使用金沙js1996威胁情报中心发布的IoC进行检测,采用专杀工具对木马文件彻底查杀。
涉及到该事件的C&C服务器的威胁知识图谱如下:
涉及到该事件的几个典型恶意文件详情如下:
3.2 其他防护建议
1、检查VPN服务器日志,核查是否存在管理员账号异常登录、%USERPROFILE%\AppData\Roaming\Sangfor\SSL\SangforUPD.exe文件被替换等异常情况;
2、限制外网或非信任IP访问VPN服务器的4430控制台管理端口,阻断黑客针对VPN服务器管理后台进行的攻击。
3、加强账号保护,使用高强度的密码,防止管理员密码被暴力猜解。
4、VPN服务器和客户终端安装安全软件,及时查杀恶意程序,开启实时保护防御。
5. 请关注深信服公司的解决方案,及时修复相关漏洞。
附录:样本分析
通过查看样本内嵌的数字签名信息,公司名称标记成“Sangfor Technologies Co.,Ltd”,但深信服公司实际英文名称为“Sangfor Technologies Inc.”,攻击者对签名进行伪造,普通人难以辨别。
创建目录%USERPROFILE%\AppData\Roaming\Sangfor\SSL\
目录创建完成后将自身拷贝到%USERPROFILE%\AppData\Roaming\Sangfor\SSL\SangforUPD.exe
遍历本地目录,获取所有文件名
链接目标服务器80端口,通过HTTP协议,以POST方式回传获取到的数据
利用com库创建系统计划任务,达到权限维持的目的
执行系统命令获取目标系统的相关信息,相关命令如下:
执行系统命令相关截图如下:
建立循环获取来自服务端的数据