阅读： 2

虽然根据深信服官方的分析，此漏洞利用难度较高，受影响的VPN设备数量有限，但受影响的VPN版本在国内企业中应用十分广泛，不容轻视。

一、威胁概述

4月6日，深信服官方发布通告称，有境外APT组织通过非法手段控制部分深信服SSL VPN设备，并利用客户端升级漏洞下发恶意文件到客户端，绿盟科技对该事件密切关注，并进行了整体的梳理和分析，建议相关用户及时采取防护和应急措施。

本次漏洞为SSL VPN设备Windows客户端升级模块签名验证机制的缺陷，但利用该漏洞的条件为必须获取控制SSL VPN设备的权限。根据深信服官方的分析，此漏洞利用难度较高。官方预估，受影响的VPN设备数量有限。根据绿盟科技安全服务团队的反馈，虽然目前已被APT组织攻陷的设备并不多，但受影响的VPN版本在国内企业中应用十分广泛。

参考链接：

https://mp.weixin.qq.com/s/lKp_3kPNEycXqfCnVPxoDw

二、影响范围

目前官方已确认以下SSL VPN版本受影响

• M6.3R1
• M6.1

三、防护建议

3.1 产品防护

此次攻击活动相关IoC信息如下：

1、C&C：103.216.221.19

2、文件名：SangforUD.EXE，MD5：a32e1202257a2945bf0f878c58490af8,

3、文件名：SangforUD.EXE，MD5：967fcf185634def5177f74b0f703bdc0

4、文件名：SangforUD.EXE，MD5：c5d5cb99291fa4b2a68b5ea3ff9d9f9a

5、文件名：e58b8de07372b9913ca2fbd3b103bb8f.virus，MD5：e58b8de07372b9913ca2fbd3b103bb8f

6、文件名：m.exe，MD5：429be60f0e444f4d9ba1255e88093721

7、文件名：93e9383ae8ad2371d457fc4c1035157d887a84bbfe66fbbb3769c5637de59c75，MD5：18427cdcb5729a194954f0a6b5c0835a

8、文件名：SANARISOR.EXE，MD5：a93ece16bf430431f9cae0125701f527

3.1.1 TAC防护

针对此次攻击活动中的恶意样本，绿盟科技威胁分析系统（TAC）已经具备了检测能力，请部署了TAC设备的用户及时关注相关告警，并配置好阻断策略。

恶意样本：967fcf185634def5177f74b0f703bdc0

恶意样本：a32e1202257a2945bf0f878c58490af8

恶意样本：c5d5cb99291fa4b2a68b5ea3ff9d9f9a

3.1.2 威胁情报中心（NTI）

绿盟科技威胁情报中心已支持对该事件的IoC检测，可以精准识别恶意IP及恶意文件，建议用户警惕与恶意IP 103.216.221.19相关告警信息。截止本通告发布，该C&C服务器已关闭。用户可使用绿盟威胁情报中心发布的IoC进行检测，采用专杀工具对木马文件彻底查杀。

涉及到该事件的C&C服务器的威胁知识图谱如下：

涉及到该事件的几个典型恶意文件详情如下：

3.2 其他防护建议

1、检查VPN服务器日志，核查是否存在管理员账号异常登录、%USERPROFILE%\AppData\Roaming\Sangfor\SSL\SangforUPD.exe文件被替换等异常情况；

2、限制外网或非信任IP访问VPN服务器的4430控制台管理端口，阻断黑客针对VPN服务器管理后台进行的攻击。

3、加强账号保护，使用高强度的密码，防止管理员密码被暴力猜解。

4、VPN服务器和客户终端安装安全软件，及时查杀恶意程序，开启实时保护防御。

5. 请关注深信服公司的解决方案，及时修复相关漏洞。

附录：样本分析

通过查看样本内嵌的数字签名信息，公司名称标记成“Sangfor Technologies Co.,Ltd”，但深信服公司实际英文名称为“Sangfor Technologies Inc.”，攻击者对签名进行伪造，普通人难以辨别。

创建目录%USERPROFILE%\AppData\Roaming\Sangfor\SSL\

目录创建完成后将自身拷贝到%USERPROFILE%\AppData\Roaming\Sangfor\SSL\SangforUPD.exe

遍历本地目录，获取所有文件名

链接目标服务器80端口，通过HTTP协议，以POST方式回传获取到的数据

利用com库创建系统计划任务，达到权限维持的目的

执行系统命令获取目标系统的相关信息，相关命令如下：

执行系统命令相关截图如下：

建立循环获取来自服务端的数据