登陆 注册

黑客利用深信服SSL VPN攻击,如何快速排查?

Xdf 2020-04-09 安全文摘

TAG:VPN、Sangfor、远控

TLP:白(报告使用及转发不受限制)

日期:2020-04-06

摘要

自1月下旬起,微步情报局捕获多个伪装成深信服VPN升级程序SangforUD.exe的恶意样本,经核实发现:

  • 此次事件是黑客利用非法控制的深信服SSL VPN设备,利用其客户端升级校验缺陷,投递具备恶意功能的升级文件“SangforUD.exe”到VPN客户端。

  • 攻击者投递的后门是一个具备持久化攻击能力的木马下载器,通过HTTP方式回传加密的系统信息和下载下阶段载荷运行,建议使用深信服VPN产品的用户高度重视,并参考文末【处置建议】立即进行检测,我们提供了多种排查手段。

  • 核实发现该组织于2020年1月起使用的C2资产中,包括位于香港的IP地址(103.216.221.19),目前该C2服务器的8080和8081端口均尚存活。

  • 此次事件相关情报已自动下发,可用于威胁情报检测。微步在线威胁检测平台(TDP)、威胁情报管理平台(TIP)、威胁情报云API均已支持该组织最新攻击的检测。如需协助,请与我们联系: contactus@threatbook.cn。

事件概要


攻击目标东北亚地区、中国
攻击时间2020年1月至今
攻击向量利用SSL VPN服务器投递恶意升级文件
攻击复杂度
最终目的远程控制、信息窃取


事件详情

自2020年1月下旬起,微步在线安全云捕获到多个伪装成深信服VPN升级程序SangforUD.exe的恶意样本。分析发现,投递的恶意样本具备木马下载器功能,将内置加密的配置信息写入任务计划达到持久化攻击的效果,通过HTTP请求方式回传加密后的主机信息,包括:网络配置信息、whoami、进程信息、域控信息、主机名、用户信息、环境变量、系统信息等,最后通过HTTP获取C2服务器的数据等待下阶段载荷运行。


1.样本大体流程如下:


2.解密出字符串“Chinese (Simplified)_People's Republic of China”。

3.查找“%APPDATA%目录下的"\Sangfor\SSL\Log\”和“\Sangfor\SSL\Dump\”路径带“.”字符串的文件并且删除,该文件储存了HTTP请求中的” _ga”值,代码如下:

4.拷贝自身文件到“\AppData\Roaming\Sangfor\SSL”目录,代码如下:

5.通过系统命令“whoami.exe /all”、“tasklist.exe /V”、“net.exe group /domain”、“HOSTNAME.EXE”、“net.exe user”、“cmd.exe /c set”、“ipconfig.exe /all”和“systeminfo.exe”获取主机信息,并且加密回传到C2服务器,代码如下:

6.其中HTTP提交的具备一定的特征,如固定的“----974767299852498929531610575”字符串,HTTP请求代码如下:

7.信息回传的数据动态调试截图如下:

8.然后判断是否管理员权限,如果是则解密自身携带的配置文件,配置包括持久化攻击信息、命令等,配置信息如下:

9.利用任务计划写入持久化相关的信息,代码如下:

10.写入的任务计划项如下,其中启动程序路径指向“%AppData% \Sangfor\SSL\SangforUPD.exe”:

11.恶意文件最终循环从C2服务器获取数据,并且保存文件到” \AppData\Roaming\Sangfor\SSL”目录下,然后通过CreateProcess命令执行下载的载荷,其中代码如下:

12.相关C2服务器的信息如下:

行动建议

         1、排查是否已被入侵

  • 使用微步在线相关产品的客户,请关注是否存在标签为“仿冒深信服VPN事件”的告警。

  • 紧急排查深信服SSL VPN服务器“/sf/htdocsback/com/win/”路径下的“SangforUD.exe”文件并上传微步云沙箱s.threatbook.cn进行查杀分析。

  • 安装深信服VPN客户端的用户排查“%AppData% \Sangfor\SSL”目录是否存在“.SangforUD.sum”、“SangforUPD.exe”,如存在则已被安装木马。

  • 安装深信服VPN客户端的用户排查任务计划是否存在“Sangfor update”自启动项,如存在则已被安装木马。

    2、做好VPN安全防护

  • 在网络出口及时阻断黑客相关C2,防止黑客进一步窃取敏感数据。

  • 建议限制VPN服务器的4430管理后台控制端口的公网访问,阻断黑客针对VPN服务器管理后台进行的攻击。

  • 建议对VPN服务器管理后台登陆账号使用高复杂度密码,防止黑客利用爆破等手段获取VPN服务器的控制权限。

  • 积极关注厂商补丁和更新,及时安装补丁。

附录-IOC

103.216.221.19:80

103.216.221.19:8080

103.216.221.19:8081

参考链接

https://x.threatbook.cn/nodev4/ip/103.216.221.19

https://s.threatbook.cn/report/file/65495d173e305625696051944a36a031ea94bb3a4f13034d8be740982bc4ab75/?env=win7_sp1_enx86_office2013

https://s.threatbook.cn/report/file/93e9383ae8ad2371d457fc4c1035157d887a84bbfe66fbbb3769c5637de59c75/?sign=history&env=win7_sp1_enx64_office2013

https://s.threatbook.cn/report/file/8749c1495af4fd73ccfc84b32f56f5e78549d81feefb0c1d1c3475a74345f6a8/?sign=history&env=win7_sp1_enx86_office2013

文由微步在线

生成海报
请发表您的评论
请关注微信公众号
微信二维码
不容错过
Powered By SangYun.Net