金沙js1996

js1996官网登录

  • 基础设施安全

    基础设施安全
  • 数据安全

    数据安全
  • 云计算安全

    云计算安全
  • 工业互联网安全

    工业互联网安全
  • 物联网安全

    物联网安全
  • 信息技术应用创新

    信息技术应用创新
  • 全部产品

    全部产品
  • 全部解决方案

    全部解决方案

基础设施安全


  • 政府

    政府
  • 运营商

    运营商
  • 金融

    金融
  • 能源

    能源
  • 交通

    交通
  • 企业

    企业
  • 科教文卫

    科教文卫

返回列表

「威胁通告」关于深信服SSL VPN被境外APT组织利用并下发恶意代码

2020-04-07

 

一、威胁概述

4月6日,深信服官方发布通告称,有境外APT组织通过非法手段控制部分深信服SSL VPN设备,并利用客户端升级漏洞下发恶意文件到客户端,js1996官网登录对该事件密切关注,并进行了整体的梳理和分析,建议相关用户及时采取防护和应急措施。

本次漏洞为SSL VPN设备Windows客户端升级模块签名验证机制的缺陷,但利用该漏洞的条件为必须获取控制SSL VPN设备的权限。根据深信服官方的分析,此漏洞利用难度较高。官方预估,受影响的VPN设备数量有限。根据js1996官网登录安全服务团队的反馈,虽然目前已被APT组织攻陷的设备并不多,但受影响的VPN版本在国内企业中应用十分广泛。

参考链接:

https://mp.weixin.qq.com/s/lKp_3kPNEycXqfCnVPxoDw

二、影响范围

目前官方已确认以下SSL VPN版本受影响

  • M6.3R1
  • M6.1

三、防护建议

3.1 产品防护

此次攻击活动相关IoC信息如下:

1、C&C:103.216.221.19

2、文件名:SangforUD.EXE,MD5:a32e1202257a2945bf0f878c58490af8,

3、文件名:SangforUD.EXE,MD5:967fcf185634def5177f74b0f703bdc0

4、文件名:SangforUD.EXE,MD5:c5d5cb99291fa4b2a68b5ea3ff9d9f9a

5、文件名:e58b8de07372b9913ca2fbd3b103bb8f.virus,MD5:e58b8de07372b9913ca2fbd3b103bb8f

6、文件名:m.exe,MD5:429be60f0e444f4d9ba1255e88093721

7、文件名:93e9383ae8ad2371d457fc4c1035157d887a84bbfe66fbbb3769c5637de59c75,MD5:18427cdcb5729a194954f0a6b5c0835a

8、文件名:SANARISOR.EXE,MD5:a93ece16bf430431f9cae0125701f527

3.1.1 TAC防护

针对此次攻击活动中的恶意样本,js1996官网登录威胁分析系统(TAC)已经具备了检测能力,请部署了TAC设备的用户及时关注相关告警,并配置好阻断策略。

恶意样本:967fcf185634def5177f74b0f703bdc0

恶意样本:a32e1202257a2945bf0f878c58490af8

恶意样本:c5d5cb99291fa4b2a68b5ea3ff9d9f9a

3.1.2 威胁情报中心(NTI)

js1996官网登录威胁情报中心已支持对该事件的IoC检测,可以精准识别恶意IP及恶意文件,建议用户警惕与恶意IP 103.216.221.19相关告警信息。截止本通告发布,该C&C服务器已关闭。用户可使用金沙js1996威胁情报中心发布的IoC进行检测,采用专杀工具对木马文件彻底查杀。

涉及到该事件的C&C服务器的威胁知识图谱如下:

涉及到该事件的几个典型恶意文件详情如下:

3.2 其他防护建议

1、检查VPN服务器日志,核查是否存在管理员账号异常登录、%USERPROFILE%\AppData\Roaming\Sangfor\SSL\SangforUPD.exe文件被替换等异常情况;

2、限制外网或非信任IP访问VPN服务器的4430控制台管理端口,阻断黑客针对VPN服务器管理后台进行的攻击。

3、加强账号保护,使用高强度的密码,防止管理员密码被暴力猜解。

4、VPN服务器和客户终端安装安全软件,及时查杀恶意程序,开启实时保护防御。

5. 请关注深信服公司的解决方案,及时修复相关漏洞。

附录:样本分析

通过查看样本内嵌的数字签名信息,公司名称标记成“Sangfor Technologies Co.,Ltd”,但深信服公司实际英文名称为“Sangfor Technologies Inc.”,攻击者对签名进行伪造,普通人难以辨别。

创建目录%USERPROFILE%\AppData\Roaming\Sangfor\SSL\

目录创建完成后将自身拷贝到%USERPROFILE%\AppData\Roaming\Sangfor\SSL\SangforUPD.exe

遍历本地目录,获取所有文件名

链接目标服务器80端口,通过HTTP协议,以POST方式回传获取到的数据

利用com库创建系统计划任务,达到权限维持的目的

执行系统命令获取目标系统的相关信息,相关命令如下:

执行系统命令相关截图如下:

建立循环获取来自服务端的数据

<<上一篇

「威胁通告」新型勒索软件WannaRen

>>下一篇

「漏洞通告」WebSphere Application Server 权限提升漏洞(CVE-2020-4362)

您的联系方式

*姓名
*单位名称
*联系方式
*验证码
提交到邮箱

购买热线

  • 购买咨询:

    400-818-6868-1

提交项目需求

欢迎加入js1996官网登录,成为我们的合作伙伴!
  • *请描述您的需求
  • *最终客户名称
  • *项目名称
  • 您感兴趣的产品
  • 项目预算
您的联系方式
  • *姓名
  • *联系电话
  • *邮箱
  • *职务
  • *公司
  • *城市
  • *行业
  • *验证码
  • 提交到邮箱

服务支持

智能客服
智能客服
购买/售后技术问题
盟管家-售后服务系统
盟管家-售后服务系统
在线提单|智能问答|知识库
支持热线
支持热线
400-818-6868
js1996官网登录社区
js1996官网登录社区
资料下载|在线问答|技术交流

© 2024 NSFOCUS js1996官网登录 www.nsfocus.com All Rights Reserved . 京公网安备 11010802021605号 京ICP备14004349号 京ICP证110355号

XML 地图