远控 VPN Sangfor
【微步在线报告】黑客利用深信服SSL VPN发起攻击
微步情报局 2020-04-06 12:22:32 2605人浏览

TAG:VPN Sangfor 远控

TLP: 白(报告使用及转发不受限制)

日期:2020-04-06

摘要

自1月下旬起,微步情报局捕获多个伪装成深信服VPN升级程序SangforUD.exe的恶意样本,经核实发现:

· 此次事件是黑客利用非法控制的深信服SSL VPN设备,利用其客户端升级校验缺陷,投递具备恶意功能的升级文件“SangforUD.exe”到VPN客户端。

· 攻击者投递的后门是一个具备持久化攻击能力的木马下载器,通过HTTP方式回传加密的系统信息和下载下阶段载荷运行,建议使用深信服VPN产品的用户高度重视,并参考文末【处置建议】立即进行检测,我们提供了多种排查手段。

· 核实发现该组织于2020年1月起使用的C2资产中,包括位于香港的IP地址(103.216.221.19),目前该C2服务器的8080和8081端口均尚存活。

· 此次事件相关情报已自动下发,可用于威胁情报检测。微步在线威胁检测平台(TDP)、威胁情报管理平台(TIP)、威胁情报云API均已支持该组织最新攻击的检测。如需协助,请与我们联系: contactus@threatbook.cn。

事件概要

攻击目标
东北亚地区、中国
攻击时间
2020年1月至今
攻击向量
利用SSL VPN服务器投递恶意升级文件
攻击复杂度

最终目的
 远程控制、信息窃取

事件详情

自2020年1月下旬起,微步在线安全云捕获到多个伪装成深信服VPN升级程序SangforUD.exe的恶意样本。分析发现,投递的恶意样本具备木马下载器功能,将内置加密的配置信息写入任务计划达到持久化攻击的效果,通过HTTP请求方式回传加密后的主机信息,包括:网络配置信息、whoami、进程信息、域控信息、主机名、用户信息、环境变量、系统信息等,最后通过HTTP获取C2服务器的数据等待下阶段载荷运行。

1.       样本大体流程如下:

1.jpg

2.       解密出字符串“Chinese (Simplified)_People's Republic of China”。

2.jpg

3.       查找“%APPDATA%目录下的"\Sangfor\SSL\Log\”和“\Sangfor\SSL\Dump\”路径带“.”字符串的文件并且删除,该文件储存了HTTP请求中的” _ga”值,代码如下:

3.jpg

4.       拷贝自身文件到“\AppData\Roaming\Sangfor\SSL”目录,代码如下:

4.jpg

5.       通过系统命令“whoami.exe /all”、“tasklist.exe /V”、“net.exe group /domain”、“HOSTNAME.EXE”、“net.exe user”、“cmd.exe /c set”、“ipconfig.exe /all”和“systeminfo.exe”获取主机信息,并且加密回传到C2服务器,代码如下:

5.jpg

6.       其中HTTP提交的具备一定的特征,如固定的“----974767299852498929531610575”字符串,HTTP请求代码如下:

6.jpg

7.       信息回传的数据动态调试截图如下:

7.jpg

8.       然后判断是否管理员权限,如果是则解密自身携带的配置文件,配置包括持久化攻击信息、命令等,配置信息如下:

8.jpg

9.       利用任务计划写入持久化相关的信息,代码如下:

9.jpg

10.       写入的任务计划项如下,其中启动程序路径指向“%AppData% \Sangfor\SSL\SangforUPD.exe”:

10.jpg

11.       恶意文件最终循环从C2服务器获取数据,并且保存文件到” \AppData\Roaming\Sangfor\SSL”目录下,然后通过CreateProcess命令执行下载的载荷,其中代码如下:

11.jpg

12.jpg

12.       相关C2服务器的信息如下:

13.jpg

行动建议

1、 排查是否已被入侵

· 使用微步在线相关产品的客户,请关注是否存在标签为“仿冒深信服VPN事件”的告警。

· 紧急排查深信服SSL VPN服务器“/sf/htdocsback/com/win/”路径下的“SangforUD.exe”文件并上传微步云沙箱s.threatbook.cn进行查杀分析。

· 安装VPN客户端的用户,排查“%AppData% \Sangfor\SSL”目录是否存在“.SangforUD.sum”、“SangforUPD.exe”,如存在则已被安装木马。

· 安装VPN客户端的用户,排查任务计划是否存在“Sangfor update”自启动项,如存在则已被安装木马。

2、 做好VPN安全防护

· 在网络出口及时阻断黑客相关C2,防止黑客进一步窃取敏感数据。

· 建议限制VPN服务器的4430管理后台控制端口的公网访问,阻断黑客针对VPN服务器管理后台进行的攻击。

· 建议对VPN服务器管理后台登陆账号使用高复杂度密码,防止黑客利用爆破等手段获取VPN服务器的控制权限。

· 积极关注厂商补丁和更新,及时安装补丁。

ip地址(1) 威胁情报数目 开放端口 所属域名 相关样本 微步标签 < 1/1 >
匿名用户 2020-04-08 21:55:25 回复
请问最后一个加壳的样本是报告中CreateProcess执行的载荷吗?
wenlf136 2020-04-07 08:47:25 回复
强!!!!!
nius 2020-04-06 21:45:24 回复
强!!!!
rsj123 2020-04-06 14:57:22 回复
图片混合加载被拦截了了orz
奖励计划banner
今日推荐