TAG:VPN、Sangfor、远控
TLP:白(报告使用及转发不受限制)
日期:2020-04-06
摘要
此次事件是黑客利用非法控制的深信服SSL VPN设备,利用其客户端升级校验缺陷,投递具备恶意功能的升级文件“SangforUD.exe”到VPN客户端。 攻击者投递的后门是一个具备持久化攻击能力的木马下载器,通过HTTP方式回传加密的系统信息和下载下阶段载荷运行,建议使用深信服VPN产品的用户高度重视,并参考文末【处置建议】立即进行检测,我们提供了多种排查手段。 核实发现该组织于2020年1月起使用的C2资产中,包括位于香港的IP地址(103.216.221.19),目前该C2服务器的8080和8081端口均尚存活。 此次事件相关情报已自动下发,可用于威胁情报检测。微步在线威胁检测平台(TDP)、威胁情报管理平台(TIP)、威胁情报云API均已支持该组织最新攻击的检测。如需协助,请与我们联系: [email protected]。
事件概要
| 攻击目标 | 东北亚地区、中国 |
| 攻击时间 | 2020年1月至今 |
| 攻击向量 | 利用SSL VPN服务器投递恶意升级文件 |
| 攻击复杂度 | 中 |
| 最终目的 | 远程控制、信息窃取 |
事件详情
1.样本大体流程如下:
2.解密出字符串“Chinese (Simplified)_People's Republic of China”。
3.查找“%APPDATA%目录下的"\Sangfor\SSL\Log\”和“\Sangfor\SSL\Dump\”路径带“.”字符串的文件并且删除,该文件储存了HTTP请求中的” _ga”值,代码如下:
4.拷贝自身文件到“\AppData\Roaming\Sangfor\SSL”目录,代码如下:
5.通过系统命令“whoami.exe /all”、“tasklist.exe /V”、“net.exe group /domain”、“HOSTNAME.EXE”、“net.exe user”、“cmd.exe /c set”、“ipconfig.exe /all”和“systeminfo.exe”获取主机信息,并且加密回传到C2服务器,代码如下:
6.其中HTTP提交的具备一定的特征,如固定的“----974767299852498929531610575”字符串,HTTP请求代码如下:
7.信息回传的数据动态调试截图如下:
8.然后判断是否管理员权限,如果是则解密自身携带的配置文件,配置包括持久化攻击信息、命令等,配置信息如下:
9.利用任务计划写入持久化相关的信息,代码如下:
10.写入的任务计划项如下,其中启动程序路径指向“%AppData% \Sangfor\SSL\SangforUPD.exe”:
11.恶意文件最终循环从C2服务器获取数据,并且保存文件到” \AppData\Roaming\Sangfor\SSL”目录下,然后通过CreateProcess命令执行下载的载荷,其中代码如下:
12.相关C2服务器的信息如下:
1、排查是否已被入侵
使用微步在线相关产品的客户,请关注是否存在标签为“仿冒深信服VPN事件”的告警。
紧急排查深信服SSL VPN服务器“/sf/htdocsback/com/win/”路径下的“SangforUD.exe”文件并上传微步云沙箱s.threatbook.cn进行查杀分析。
安装深信服VPN客户端的用户排查“%AppData% \Sangfor\SSL”目录是否存在“.SangforUD.sum”、“SangforUPD.exe”,如存在则已被安装木马。
安装深信服VPN客户端的用户排查任务计划是否存在“Sangfor update”自启动项,如存在则已被安装木马。
2、做好VPN安全防护 在网络出口及时阻断黑客相关C2,防止黑客进一步窃取敏感数据。
建议限制VPN服务器的4430管理后台控制端口的公网访问,阻断黑客针对VPN服务器管理后台进行的攻击。
建议对VPN服务器管理后台登陆账号使用高复杂度密码,防止黑客利用爆破等手段获取VPN服务器的控制权限。
积极关注厂商补丁和更新,及时安装补丁。
103.216.221.19:80
103.216.221.19:8080
103.216.221.19:8081
https://x.threatbook.cn/nodev4/ip/103.216.221.19
https://s.threatbook.cn/report/file/65495d173e305625696051944a36a031ea94bb3a4f13034d8be740982bc4ab75/?env=win7_sp1_enx86_office2013
https://s.threatbook.cn/report/file/93e9383ae8ad2371d457fc4c1035157d887a84bbfe66fbbb3769c5637de59c75/?sign=history&env=win7_sp1_enx64_office2013
https://s.threatbook.cn/report/file/8749c1495af4fd73ccfc84b32f56f5e78549d81feefb0c1d1c3475a74345f6a8/?sign=history&env=win7_sp1_enx86_office2013
关于微步在线应急响应团队
微步情报局,即微步在线研究响应团队,负责微步在线安全分析与安全服务业务,主要研究内容包括威胁情报自动化研发、高级APT组织&黑产研究与追踪、恶意代码与自动化分析技术、重大事件应急响应等。
微步情报局由精通木马分析与取证技术、Web攻击技术、溯源技术、大数据、AI等安全技术的资深专家组成,并通过自动化情报生产系统、云沙箱、黑客画像系统、威胁狩猎系统、追踪溯源系统、威胁感知系统、大数据关联知识图谱等自主研发的系统,对微步在线每天新增的百万级样本文件、千万级URL、PDNS、Whois数据进行实时的自动化分析、同源分析及大数据关联分析。微步情报局自设立以来,累计率先发现了包括数十个境外高级APT组织针对我国关键基础设施和金融、能源、政府、高科技等行业的定向攻击行动,协助数百家各个行业头部客户处置了肆虐全球的WannaCry勒索事件、BlackTech定向攻击我国证券和高科技事件、海莲花长期定向攻击我国海事/高科技/金融的攻击活动、OldFox定向攻击全国上百家手机行业相关企业的事件。
关于 ThreatBook
THREATBOOK PRODUCTS
产品一览
TDP | TDPS | TIP
OneDNS™ 安全DNS
THREATBOOK CUSTOMERS
典型客户
政府
新华社 | 农业部 | 国家信息中心
海淀区政府 | 浦口信息中心
金融
人民银行清算中心
工商银行 | 农业银行 | 中国银行 | 交通银行
招商银行 | 民生银行 | 光大银行 | 微众银行
中国银联 | 农信银资金清算中心 | 蚂蚁金服
渤海银行 | 南京银行 | 浦发银行
厦门国际银行 | 江苏农信 | 山东农信
山东城商行联盟
中国平安 | 安邦保险 | 前海人寿 | 太平洋保险
银河证券 | 安信证券 | 国信证券 | 证通股份
广发证券 | 东方证券 | 中信建投证券 | 凡普金科
兴业证券 | 光大证券 | 中信集团 | 华泰证券
中信证券 | 国泰君安证券 | 东方花旗证券
能源
中国石油 | 国家电网 | 南方电网
互联网
腾讯 | 百度 | 字节跳动 | 金山云 | 爱奇艺 | 京东 | 美团
唯品会 | 汽车之家 | 瓜子二手车 | Bilibili | 太极云
更多
VIVO | 顺丰速运 | 中国移动
千寻位置 | 中兴通讯 | 波司登 | OPPO
THREATBOOK PARTNERS
合作伙伴
以下企业或产品中集成了微步威胁情报:
阿里云态势感知
情报模块(需单独采购)
互联网域名系统北京市工程研究中心
DNS硬件防火墙
以下企业或产品没有集成微步威胁情报:
深 信 服
安 恒 信 息
绿 盟 科 技
瀚 思 科 技
等其他企业
产品合作信息以微步在线官方披露为准
我们将随时更新合作伙伴名单及合作类别
如有侵权请联系:admin#unsafe.sh