安全研究 SECURITY SERVICE

深信服SSL VPN设备被攻击利用事件通告,捷普入侵防御系统已支持相关检测

发布时间: 2020-04-07
来源:
浏览数: 371

  漏洞背景  




近日,有消息称某黑客组织利用国内深信服SSL VPN设备漏洞,利用客户端升级漏洞下发恶意文件到用户客户端,威胁用户安全。对此,捷普安全实验室第一时间进行响应,并对相关攻击事件进行跟踪。

2020年4月5日晚,深信服官方针对已确认遭受攻击的SSL VPN设备版本(M6.3R1版本、 M6.1版本)紧急发布修复补丁,并安排技术服务人员对受影响用户主动上门排查与修复。

内容详见:

https://mp.weixin.qq.com/s/lKp_3kPNEycXqfCnVPxoDw



  漏洞分析  




针对此次事件的相关设备——深信服SSL VPN,在对事件跟踪分析中发现,该漏洞存在于VPN客户端启动连接服务器时默认触发的一个升级行为,当用户使用启动VPN客户端连接VPN服务器时,客户端会从所连接的VPN服务器上固定位置的配置文件获取升级信息,并下载一个名为SangforUD.exe的程序执行。由于开发人员缺乏安全意识,整个升级过程存在安全漏洞,客户端仅对更新程序做了简单的版本对比,没有做任何的安全检查。


深信服SSL VPN设备被攻击利用事件通告,捷普入侵防御系统已支持相关检测

攻击者利用深信服VPN设备的已知远程漏洞或弱口令获取对设备的控制。在修改VPN的升级配置文件,篡改升级包下载相关的配置信息,指向攻击者控制的恶意文件和对应文件MD5。利用此漏洞针对VPN用户定向散播后门程序。


样本分析




在对样本分析过程中,利用公开威胁情报获取到多个相关病毒样本SangforUD.exe,分析发现投递的恶意样本具备木马下载器功能,将内置加密的配置信息写入任务计划达到持久化攻击的效果,通过HTTP请求方式回传加密后的主机信息。

深信服SSL VPN设备被攻击利用事件通告,捷普入侵防御系统已支持相关检测


其中HTTP提交的具备一定的特征,如固定的

“----974767299852498929531610575”字符串,HTTP请求代码如下:

深信服SSL VPN设备被攻击利用事件通告,捷普入侵防御系统已支持相关检测


恶意文件最终循环从C2服务器获取数据,并且保存文件到” \AppData\Roaming\Sangfor\SSL”目录下,然后通过CreateProcess命令执行下载的载荷,其中代码如下:

深信服SSL VPN设备被攻击利用事件通告,捷普入侵防御系统已支持相关检测

程序执行后文件操作:

深信服SSL VPN设备被攻击利用事件通告,捷普入侵防御系统已支持相关检测

程序执行流程图如下:


深信服SSL VPN设备被攻击利用事件通告,捷普入侵防御系统已支持相关检测



防御建议



使用捷普入侵防御系统(IPS),可查询相关规则实现对该漏洞的检测。

深信服SSL VPN设备被攻击利用事件通告,捷普入侵防御系统已支持相关检测


缓解措施



1、 排查是否已被入侵

  • 紧急排查深信服SSL VPN服务器“/sf/htdocsback/com/win/”路径下的“SangforUD.exe”使用安全防护软件进行病毒检测;

  • 安装VPN客户端的用户,排查“%AppData% \Sangfor\SSL”目录是否存在“.SangforUD.sum”、“SangforUPD.exe”,如存在则已被安装木马;

  • 安装VPN客户端的用户,排查任务计划是否存在“Sangfor update”自启动项,如存在则已被安装木马;

2、 做好VPN安全防护

  • 在网络出口及时阻断黑客相关C2,防止黑客进一步窃取敏感数据;

  • 建议限制VPN服务器的4430管理后台控制端口的公网访问,阻断黑客针对VPN服务器管理后台进行的攻击;

  • 建议对VPN服务器管理后台登陆账号使用高复杂度密码,防止黑客利用爆破等手段获取VPN服务器的控制权限;

  • 积极关注厂商补丁和更新,及时安装补丁(https://mp.weixin.qq.com/s/XoIREe26Ap1_rfvgXP9NJQ)。


 IOC信息 



1、C&C:103.216.221.19

2、文件名:SangforUD.exe

MD5:a32e1202257a2945bf0f878c58490af8

MD5:967fcf185634def5177f74b0f703bdc0

MD5:c5d5cb99291fa4b2a68b5ea3ff9d9f9a

MD5:e58b8de07372b9913ca2fbd3b103bb8f


分享到:
  • 相关推荐 RELATED TO RECOMMEND
  • 点击次数: 10
    2024 - 07 - 17
    Adobe Coldfusion存在路径遍历漏洞 https://packetstormsecurity.com/files/99380/Adobe-ColdFusion-Directory-Traversal.html Cisco Ios_xr存在安全漏洞 https://exchange.xforce.ibmcloud.com/vulnerabilities/61443 Microsoft多款产品存在漏洞 https://www.cybersecurity-help.cz/vdb/SB2021091445 Sonicwall多款产品存在SQL注入漏洞 https://www.cnnvd.org.cn/home/globalSearch?keyword=CNNVD-202108-422 Php等厂商的多款产品存在跨界内存写漏洞 https://www.cnnvd.org.cn/home/globalSearch?keyword=CNNVD-201910-1456
  • 点击次数: 11
    2024 - 07 - 15
    Postgresql存在特权放弃/降低错误漏洞 https://access.redhat.com/security/cve/cve-2024-0985 Google Android存在整数溢出或超界折返漏洞 https://www.cnnvd.org.cn/home/globalSearch?keyword=CNNVD-202406-1628 Openvpn存在危险类型文件的不加限制上传漏洞 https://community.openvpn.net/openvpn/wiki/CVE-2024-27903 Juniper Junos存在资源穷尽漏洞 https://nvd.nist.gov/vuln/detail/CVE-2023-36841 Fortinet多款产品存在OS命令注入漏洞 https://www.cnnvd.org.cn/home/globalSearch?keyword=CNNVD-202310-700
  • 点击次数: 13
    2024 - 07 - 08
    Fasterxml等厂商的多款产品存在可信数据的反序列化漏洞 https://www.auscert.org.au/bulletins/ESB-2020.1766/ Splunk多款产品存在Xpath盲注漏洞 https://www.cnnvd.org.cn/home/globalSearch?keyword=CNNVD-202311-1496 Vmware Hyperic_server存在可信数据的反序列化漏洞 https://www.cnnvd.org.cn/home/globalSearch?keyword=CNNVD-202211-2653 Redhat多款产品存在使用欺骗进行的认证绕过漏洞 https://www.cve.org/CVERecord?id=CVE-2024-5037 Google等厂商的多款产品存在类型混淆漏洞 https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/M4GHJ3FK5NPHDRUR4OJOI4UU6FKSOOGG/
  • 点击次数: 11
    2024 - 07 - 03
    俄罗斯多个行业遭到ReaverBits组织攻击 https://www.facct.ru/blog/reaverbits/ Kimsuky组织部署TRANSLATEXT扩展以针对韩国学术界 https://www.zscaler.com/blogs/security-research/kimsuky-deploys-translatext-target-south-korean-academia 微软Office漏洞CVE-2021-40444用于部署MerkSpy信息窃取程序 https://www.fortinet.com/blog/threat-research/merkspy-exploiting-cve-2021-40444-to-infiltrate-systems Poseidon窃取程序通过Google广告感染Mac用户 https://www.malwarebytes.com/blog/news/2024/06/poseidon-mac-stealer-distributed-via-google-ads Unfurling Hemlock:向多国传播大量恶意软件以牟取经济利益 https://outpost24.com/blog/unfurling-hemlock-cluster-bomb-campaign/#introducing-unfurling-hemlock
  • 点击次数: 11
    2024 - 06 - 19
    Microsoft多款产品存在释放后使用漏洞 https://nvd.nist.gov/vuln/detail/CVE-2024-30080 Totolink多款产品存在命令注入漏洞 https://cxsecurity.com/cveshow/CVE-2023-51016/ Mariadb等厂商的多款产品存在资源穷尽漏洞 https://access.redhat.com/security/cve/CVE-2023-5157 Netapp等厂商的多款产品存在越界读取漏洞 https://packetstormsecurity.com/files/174154/Ubuntu-Security-Notice-USN-6285-1.html Mongodb等厂商的多款产品存在越界读取漏洞 https://nvd.nist.gov/vuln/detail/CVE-2024-5629
友情连接:
免费服务热线 ree service hotline 400-613-1868 手机端
法律声明 Copyright  西安交大捷普网络科技有限公司  陕ICP备18022218号-1

陕公网安备 61019002000857号

犀牛云提供云计算服务