威脅簡報

日前，境外APT組織Darkhotel(APT-C-06)利用深信服VPN升級漏洞，對國內(nèi)政府機(jī)構(gòu)、重要企業(yè)實(shí)施網(wǎng)絡(luò)攻擊。攻擊者利用深信服M6.3R1和M6.1版本的VPN服務(wù)器漏洞或弱口令實(shí)現(xiàn)入侵劫持，并修改控制服務(wù)器配置下發(fā)偽造升級程序SangforUPD.exe（攜帶木馬），進(jìn)而獲取受害主機(jī)的控制權(quán)，收集重要科研、政策情報，或盜取、破壞重要數(shù)據(jù)資產(chǎn)和基礎(chǔ)設(shè)施。目前國內(nèi)受影響節(jié)點(diǎn)數(shù)量超過200，主要分布在北京、上海等重點(diǎn)經(jīng)濟(jì)區(qū)域。

深信服已經(jīng)確認(rèn)該漏洞，并發(fā)布相關(guān)補(bǔ)丁程序。

威脅樣本

本次涉及的遠(yuǎn)控木馬之一SangforUPD.exe安裝后能夠形成對受害者持久化的控制，通過訪問C2獲取shellcode和下一階段載荷進(jìn)行進(jìn)一步操作。以下是檢測該樣本的主機(jī)特征和網(wǎng)絡(luò)特征。

偽裝深信服VPN客戶端程序，圖標(biāo)與真實(shí)圖標(biāo)相同。

運(yùn)行后拷貝自身到appdata\roaming\sangfor\ssl\SangforUPD.exe

木馬程序加載后，使用HTTP協(xié)議連接C2：103.216.221.19時請求中攜帶特定字符串“------974767299852498929531610575”

影響范圍:

1. 據(jù)披露信息顯示上百臺VPN服務(wù)器遭到劫持；

2. 基于樣本的創(chuàng)建時間和情報庫關(guān)聯(lián)時間判斷，攻擊活動開始于數(shù)月前；

3. 由于目前屬于抗疫時期，遠(yuǎn)程辦公用戶頗多。受害者個人計(jì)算機(jī)上的重要文件和上網(wǎng)信息可能已遭泄露。

安全建議：

1. 第一時間自檢VPN服務(wù)器是否存在漏洞并下載官方發(fā)布補(bǔ)丁，更新最新深信服VPN軟件；

2. 利用殺毒引擎掃描主機(jī)目錄“appdata\roaming\sangfor\ssl”、VPN服務(wù)器目錄“/sf/htdocsback/com/win/”，檢測是否被植入木馬；

3. 檢查包含字符串“Sangfor”的主機(jī)啟動項(xiàng)是否正常；

4.網(wǎng)絡(luò)管理員限制VPN服務(wù)器4330端口連接，僅允許少量授信用戶訪問；

5. 增強(qiáng)密碼防護(hù)意識，個人和使用強(qiáng)密碼；

6. 針對企業(yè)內(nèi)網(wǎng)加強(qiáng)全流量分析，確認(rèn)是否有其他木馬及異常行為；

相關(guān)IOC

103.216.221.19

a32e1202257a2945bf0f878c58490af8

c5d5cb99291fa4b2a68b5ea3ff9d9f9a

967fcf185634def5177f74b0f703bdc0

來源：水滴安全實(shí)驗(yàn)室

及時掌握網(wǎng)絡(luò)安全態(tài)勢 盡在傻蛋網(wǎng)絡(luò)安全監(jiān)測系統(tǒng)

【網(wǎng)絡(luò)安全監(jiān)管部門】免費(fèi)試用

本文來源:

如涉及侵權(quán)，請及時與我們聯(lián)系，我們會在第一時間刪除或處理侵權(quán)內(nèi)容。
電話：400-869-9193 負(fù)責(zé)人：張明