安全研究 SECURITY SERVICE

深信服SSL VPN设备被攻击利用事件通告,捷普入侵防御系统已支持相关检测

发布时间: 2020-04-07
来源:
浏览数: 366

  漏洞背景  




近日,有消息称某黑客组织利用国内深信服SSL VPN设备漏洞,利用客户端升级漏洞下发恶意文件到用户客户端,威胁用户安全。对此,捷普安全实验室第一时间进行响应,并对相关攻击事件进行跟踪。

2020年4月5日晚,深信服官方针对已确认遭受攻击的SSL VPN设备版本(M6.3R1版本、 M6.1版本)紧急发布修复补丁,并安排技术服务人员对受影响用户主动上门排查与修复。

内容详见:

https://mp.weixin.qq.com/s/lKp_3kPNEycXqfCnVPxoDw



  漏洞分析  




针对此次事件的相关设备——深信服SSL VPN,在对事件跟踪分析中发现,该漏洞存在于VPN客户端启动连接服务器时默认触发的一个升级行为,当用户使用启动VPN客户端连接VPN服务器时,客户端会从所连接的VPN服务器上固定位置的配置文件获取升级信息,并下载一个名为SangforUD.exe的程序执行。由于开发人员缺乏安全意识,整个升级过程存在安全漏洞,客户端仅对更新程序做了简单的版本对比,没有做任何的安全检查。


深信服SSL VPN设备被攻击利用事件通告,捷普入侵防御系统已支持相关检测

攻击者利用深信服VPN设备的已知远程漏洞或弱口令获取对设备的控制。在修改VPN的升级配置文件,篡改升级包下载相关的配置信息,指向攻击者控制的恶意文件和对应文件MD5。利用此漏洞针对VPN用户定向散播后门程序。


样本分析




在对样本分析过程中,利用公开威胁情报获取到多个相关病毒样本SangforUD.exe,分析发现投递的恶意样本具备木马下载器功能,将内置加密的配置信息写入任务计划达到持久化攻击的效果,通过HTTP请求方式回传加密后的主机信息。

深信服SSL VPN设备被攻击利用事件通告,捷普入侵防御系统已支持相关检测


其中HTTP提交的具备一定的特征,如固定的

“----974767299852498929531610575”字符串,HTTP请求代码如下:

深信服SSL VPN设备被攻击利用事件通告,捷普入侵防御系统已支持相关检测


恶意文件最终循环从C2服务器获取数据,并且保存文件到” \AppData\Roaming\Sangfor\SSL”目录下,然后通过CreateProcess命令执行下载的载荷,其中代码如下:

深信服SSL VPN设备被攻击利用事件通告,捷普入侵防御系统已支持相关检测

程序执行后文件操作:

深信服SSL VPN设备被攻击利用事件通告,捷普入侵防御系统已支持相关检测

程序执行流程图如下:


深信服SSL VPN设备被攻击利用事件通告,捷普入侵防御系统已支持相关检测



防御建议



使用捷普入侵防御系统(IPS),可查询相关规则实现对该漏洞的检测。

深信服SSL VPN设备被攻击利用事件通告,捷普入侵防御系统已支持相关检测


缓解措施



1、 排查是否已被入侵

  • 紧急排查深信服SSL VPN服务器“/sf/htdocsback/com/win/”路径下的“SangforUD.exe”使用安全防护软件进行病毒检测;

  • 安装VPN客户端的用户,排查“%AppData% \Sangfor\SSL”目录是否存在“.SangforUD.sum”、“SangforUPD.exe”,如存在则已被安装木马;

  • 安装VPN客户端的用户,排查任务计划是否存在“Sangfor update”自启动项,如存在则已被安装木马;

2、 做好VPN安全防护

  • 在网络出口及时阻断黑客相关C2,防止黑客进一步窃取敏感数据;

  • 建议限制VPN服务器的4430管理后台控制端口的公网访问,阻断黑客针对VPN服务器管理后台进行的攻击;

  • 建议对VPN服务器管理后台登陆账号使用高复杂度密码,防止黑客利用爆破等手段获取VPN服务器的控制权限;

  • 积极关注厂商补丁和更新,及时安装补丁(https://mp.weixin.qq.com/s/XoIREe26Ap1_rfvgXP9NJQ)。


 IOC信息 



1、C&C:103.216.221.19

2、文件名:SangforUD.exe

MD5:a32e1202257a2945bf0f878c58490af8

MD5:967fcf185634def5177f74b0f703bdc0

MD5:c5d5cb99291fa4b2a68b5ea3ff9d9f9a

MD5:e58b8de07372b9913ca2fbd3b103bb8f


分享到:
  • 相关推荐 RELATED TO RECOMMEND
  • 点击次数: 11
    2024 - 04 - 15
    Qualcomm多款产品存在空指针解引用漏洞https://www.cve.org/CVERecord?id=CVE-2022-33304 Qualcomm多款产品存在越界读取漏洞https://cxsecurity.com/cveshow/CVE-2022-33306/ Qualcomm多款产品存在双重释放漏洞https://www.cve.org/CVERecord?id=CVE-2022-33307 Qualcomm多款产品存在跨界内存写漏洞https://cxsecurity.com/cveshow/CVE-2022-40514/ Qualcomm多款产品存在不正确的类型转换漏洞https://www.cve.org/CVERecord?id=CVE-2022-40531
  • 点击次数: 12
    2024 - 04 - 10
    Byzoro多款产品存在访问控制不恰当漏洞https://github.com/GTA12138/vul/blob/main/smart%20s150/2024-1-9%20smart%20s150%20101508.md Elearning_system_project Elearning_system存在SQL注入漏洞https://github.com/anx0ing/CVE_demo/blob/main/2022/eLearning%20System-SQL%20injections.md Byzoro多款产品存在危险类型文件的不加限制上传漏洞https://www.cnnvd.org.cn/home/globalSearch?keyword=CNNVD-202401-2401 Siemens Automation_license_manager存在对另一领域资源的外部控制引用漏洞https://cert-portal.siemens.com/productcert/html/ssa-476715.html Libexpat_project Libexpat存在资源穷尽漏洞https://www.cnnvd.org.cn/home/globalSearch?keyword=CNNVD-202402-245
  • 点击次数: 20
    2024 - 04 - 08
    Metasploit Meterpreter后门软件通过Redis服务分发https://redqueen.tj-un.com/IntelDetails.html?id=4bf38acec075467c8e104836873f0165 越南CoralRaider组织对亚洲多个国家实施数据窃取活动https://redqueen.tj-un.com/IntelDetails.html?id=c4f79f1e5d524202bac4e559eab37323 Lazy Koala组织利用LazyStealer窃取器攻击多个国家https://redqueen.tj-un.com/IntelDetails.html?id=ab47d855f6c2410db9409becd62180ac 伪造的恶意电子银行软件正被用于针对东南亚地区https://redqueen.tj-un.com/IntelDetails.html?id=3e885323a52a465eb07973ea9134fd6f Solar Spider组织借助JsOutProx新版本入侵多个地区的金融机构https://redqueen.tj-un.com/IntelDetails.html?id=bc63b6cc463443a19403a22e7de86013
  • 点击次数: 1
    2024 - 03 - 26
    AWS曝一键式漏洞,攻击者可接管Apache Airflow服务https://www.freebuf.com/news/395687.html 立即撤销V6权限:ParaSwap解决了AugustusV6漏洞https://www.anquanke.com/post/id/294367 立即修补:Pwn2Own中Firefox浏览器中被利用的两个零日漏洞已被解决https://www.anquanke.com/post/id/294359 黑客正在出售福昕阅读器的漏洞:尽快修补!https://www.anquanke.com/post/id/294249 Apple M系列芯片中的新GoFetch漏洞可泄露加密密钥https://redqueen.tj-un.com/InfoDetails.html?id=dd8ddaf7c8df4cc3bc7115f81e181dba
  • 点击次数: 3
    2024 - 03 - 22
    GitHub推出全新AI功能,可自动修复代码漏洞https://www.freebuf.com/news/395466.html Atlassian Confluence路径遍历漏洞 (CVE-2024-21677) 安全通告https://www.secrss.com/articles/64589 全球知名游戏竞赛选手电脑遭漏洞攻击,总决赛被迫中断https://www.secrss.com/articles/64543 Imperva报告:API 漏洞导致全球企业每年损失750 亿美元https://www.anquanke.com/post/id/294182 ABB控制器中发现严重漏洞https://www.anquanke.com/post/id/294162
友情连接:
免费服务热线 ree service hotline 400-613-1868 手机端
法律声明 Copyright  西安交大捷普网络科技有限公司  陕ICP备18022218号-1

陕公网安备 61019002000857号

犀牛云提供云计算服务