漏洞背景  

近日，有消息称某黑客组织利用国内深信服SSL VPN设备漏洞，利用客户端升级漏洞下发恶意文件到用户客户端，威胁用户安全。对此，捷普安全实验室第一时间进行响应，并对相关攻击事件进行跟踪。

2020年4月5日晚，深信服官方针对已确认遭受攻击的SSL VPN设备版本（M6.3R1版本、 M6.1版本）紧急发布修复补丁，并安排技术服务人员对受影响用户主动上门排查与修复。

内容详见：

https://mp.weixin.qq.com/s/lKp_3kPNEycXqfCnVPxoDw

  漏洞分析  

针对此次事件的相关设备——深信服SSL VPN，在对事件跟踪分析中发现，该漏洞存在于VPN客户端启动连接服务器时默认触发的一个升级行为，当用户使用启动VPN客户端连接VPN服务器时，客户端会从所连接的VPN服务器上固定位置的配置文件获取升级信息，并下载一个名为SangforUD.exe的程序执行。由于开发人员缺乏安全意识，整个升级过程存在安全漏洞，客户端仅对更新程序做了简单的版本对比，没有做任何的安全检查。

攻击者利用深信服VPN设备的已知远程漏洞或弱口令获取对设备的控制。在修改VPN的升级配置文件，篡改升级包下载相关的配置信息，指向攻击者控制的恶意文件和对应文件MD5。利用此漏洞针对VPN用户定向散播后门程序。

样本分析

---

在对样本分析过程中，利用公开威胁情报获取到多个相关病毒样本SangforUD.exe，分析发现投递的恶意样本具备木马下载器功能，将内置加密的配置信息写入任务计划达到持久化攻击的效果，通过HTTP请求方式回传加密后的主机信息。

其中HTTP提交的具备一定的特征，如固定的

“----974767299852498929531610575”字符串，HTTP请求代码如下：

恶意文件最终循环从C2服务器获取数据，并且保存文件到” \AppData\Roaming\Sangfor\SSL”目录下，然后通过CreateProcess命令执行下载的载荷，其中代码如下：

程序执行后文件操作：

程序执行流程图如下：

防御建议

---

使用捷普入侵防御系统(IPS)，可查询相关规则实现对该漏洞的检测。

缓解措施

---

1、 排查是否已被入侵

• 紧急排查深信服SSL VPN服务器“/sf/htdocsback/com/win/”路径下的“SangforUD.exe”使用安全防护软件进行病毒检测；

• 安装VPN客户端的用户，排查“%AppData% \Sangfor\SSL”目录是否存在“.SangforUD.sum”、“SangforUPD.exe”，如存在则已被安装木马；

• 安装VPN客户端的用户，排查任务计划是否存在“Sangfor update”自启动项，如存在则已被安装木马；

2、 做好VPN安全防护

• 在网络出口及时阻断黑客相关C2，防止黑客进一步窃取敏感数据；

• 建议限制VPN服务器的4430管理后台控制端口的公网访问，阻断黑客针对VPN服务器管理后台进行的攻击；

• 建议对VPN服务器管理后台登陆账号使用高复杂度密码，防止黑客利用爆破等手段获取VPN服务器的控制权限；

• 积极关注厂商补丁和更新，及时安装补丁（https://mp.weixin.qq.com/s/XoIREe26Ap1_rfvgXP9NJQ）。

 IOC信息 

---

1、C&C：103.216.221.19

2、文件名：SangforUD.exe

MD5:a32e1202257a2945bf0f878c58490af8

MD5:967fcf185634def5177f74b0f703bdc0

MD5:c5d5cb99291fa4b2a68b5ea3ff9d9f9a

MD5:e58b8de07372b9913ca2fbd3b103bb8f