「威胁通告」关于深信服SSL VPN被境外APT组织利用并下发恶意代码

虽然根据深信服官方的分析,此漏洞利用难度较高,受影响的VPN设备数量有限,但受影响的VPN版本在国内企业中应用十分广泛,不容轻视。

一、威胁概述

4月6日,深信服官方发布通告称,有境外APT组织通过非法手段控制部分深信服SSL VPN设备,并利用客户端升级漏洞下发恶意文件到客户端,绿盟科技对该事件密切关注,并进行了整体的梳理和分析,建议相关用户及时采取防护和应急措施。

本次漏洞为SSL VPN设备Windows客户端升级模块签名验证机制的缺陷,但利用该漏洞的条件为必须获取控制SSL VPN设备的权限。根据深信服官方的分析,此漏洞利用难度较高。官方预估,受影响的VPN设备数量有限。根据绿盟科技安全服务团队的反馈,虽然目前已被APT组织攻陷的设备并不多,但受影响的VPN版本在国内企业中应用十分广泛。

参考链接:

https://mp.weixin.qq.com/s/lKp_3kPNEycXqfCnVPxoDw

二、影响范围

目前官方已确认以下SSL VPN版本受影响

  • M6.3R1
  • M6.1

三、防护建议

3.1 产品防护

此次攻击活动相关IoC信息如下:

1、C&C:103.216.221.19

2、文件名:SangforUD.EXE,MD5:a32e1202257a2945bf0f878c58490af8,

3、文件名:SangforUD.EXE,MD5:967fcf185634def5177f74b0f703bdc0

4、文件名:SangforUD.EXE,MD5:c5d5cb99291fa4b2a68b5ea3ff9d9f9a

5、文件名:e58b8de07372b9913ca2fbd3b103bb8f.virus,MD5:e58b8de07372b9913ca2fbd3b103bb8f

6、文件名:m.exe,MD5:429be60f0e444f4d9ba1255e88093721

7、文件名:93e9383ae8ad2371d457fc4c1035157d887a84bbfe66fbbb3769c5637de59c75,MD5:18427cdcb5729a194954f0a6b5c0835a

8、文件名:SANARISOR.EXE,MD5:a93ece16bf430431f9cae0125701f527

3.1.1 TAC防护

针对此次攻击活动中的恶意样本,绿盟科技威胁分析系统(TAC)已经具备了检测能力,请部署了TAC设备的用户及时关注相关告警,并配置好阻断策略。

恶意样本:967fcf185634def5177f74b0f703bdc0

恶意样本:a32e1202257a2945bf0f878c58490af8

恶意样本:c5d5cb99291fa4b2a68b5ea3ff9d9f9a

3.1.2 威胁情报中心(NTI)

绿盟科技威胁情报中心已支持对该事件的IoC检测,可以精准识别恶意IP及恶意文件,建议用户警惕与恶意IP 103.216.221.19相关告警信息。截止本通告发布,该C&C服务器已关闭。用户可使用绿盟威胁情报中心发布的IoC进行检测,采用专杀工具对木马文件彻底查杀。

涉及到该事件的C&C服务器的威胁知识图谱如下:

涉及到该事件的几个典型恶意文件详情如下:

3.2 其他防护建议

1、检查VPN服务器日志,核查是否存在管理员账号异常登录、%USERPROFILE%\AppData\Roaming\Sangfor\SSL\SangforUPD.exe文件被替换等异常情况;

2、限制外网或非信任IP访问VPN服务器的4430控制台管理端口,阻断黑客针对VPN服务器管理后台进行的攻击。

3、加强账号保护,使用高强度的密码,防止管理员密码被暴力猜解。

4、VPN服务器和客户终端安装安全软件,及时查杀恶意程序,开启实时保护防御。

5. 请关注深信服公司的解决方案,及时修复相关漏洞。

附录:样本分析

通过查看样本内嵌的数字签名信息,公司名称标记成“Sangfor Technologies Co.,Ltd”,但深信服公司实际英文名称为“Sangfor Technologies Inc.”,攻击者对签名进行伪造,普通人难以辨别。

创建目录%USERPROFILE%\AppData\Roaming\Sangfor\SSL\

目录创建完成后将自身拷贝到%USERPROFILE%\AppData\Roaming\Sangfor\SSL\SangforUPD.exe

遍历本地目录,获取所有文件名

链接目标服务器80端口,通过HTTP协议,以POST方式回传获取到的数据

利用com库创建系统计划任务,达到权限维持的目的

执行系统命令获取目标系统的相关信息,相关命令如下:

执行系统命令相关截图如下:

建立循环获取来自服务端的数据

发表评论