黑客利用深信服SSL VPN攻击，如何快速排查？

TAG：V**、Sangfor、远控

TLP：白（报告使用及转发不受限制）

日期：2020-04-06

摘要

自1月下旬起，微步情报局捕获多个伪装成深信服V**升级程序SangforUD.exe的恶意样本，经核实发现：

• 此次事件是黑客利用非法控制的深信服SSL V**设备，利用其客户端升级校验缺陷，投递具备恶意功能的升级文件“SangforUD.exe”到VPN客户端。
• 攻击者投递的后门是一个具备持久化攻击能力的木马下载器，通过HTTP方式回传加密的系统信息和下载下阶段载荷运行，建议使用深信服V**产品的用户高度重视，并参考文末【处置建议】立即进行检测，我们提供了多种排查手段。
• 核实发现该组织于2020年1月起使用的C2资产中，包括位于香港的ip地址（103.216.221.19），目前该C2服务器的8080和8081端口均尚存活。
• 此次事件相关情报已自动下发，可用于威胁情报检测。微步在线威胁检测平台（TDP）、威胁情报管理平台（TIP）、威胁情报云API均已支持该组织最新攻击的检测。如需协助，请与我们联系： contactus@threatbook.cn。

事件概要

事件详情

自2020年1月下旬起，微步在线安全云捕获到多个伪装成深信服V**升级程序SangforUD.exe的恶意样本。分析发现，投递的恶意样本具备木马下载器功能，将内置加密的配置信息写入任务计划达到持久化攻击的效果，通过HTTP请求方式回传加密后的主机信息，包括：网络配置信息、whoami、进程信息、域控信息、主机名、用户信息、环境变量、系统信息等，最后通过HTTP获取C2服务器的数据等待下阶段载荷运行。

1.样本大体流程如下：

2.解密出字符串“Chinese (Simplified)_People's Republic of China”。

3.查找“%APPDATA%目录下的"\Sangfor\SSL\Log\”和“\Sangfor\SSL\Dump\”路径带“.”字符串的文件并且删除，该文件储存了HTTP请求中的” _ga”值，代码如下：

4.拷贝自身文件到“\AppData\Roaming\Sangfor\SSL”目录，代码如下:

5.通过系统命令“whoami.exe /all”、“tasklist.exe /V”、“net.exe group /domain”、“HOSTNAME.EXE”、“net.exe user”、“cmd.exe /c set”、“ipconfig.exe /all”和“systeminfo.exe”获取主机信息，并且加密回传到C2服务器，代码如下：

6.其中HTTP提交的具备一定的特征，如固定的“----974767299852498929531610575”字符串，HTTP请求代码如下：

7.信息回传的数据动态调试截图如下：

8.然后判断是否管理员权限，如果是则解密自身携带的配置文件，配置包括持久化攻击信息、命令等，配置信息如下：

9.利用任务计划写入持久化相关的信息，代码如下：

10.写入的任务计划项如下，其中启动程序路径指向“%AppData% \Sangfor\SSL\SangforUPD.exe”:

11.恶意文件最终循环从C2服务器获取数据，并且保存文件到” \AppData\Roaming\Sangfor\SSL”目录下，然后通过CreateProcess命令执行下载的载荷，其中代码如下：

12.相关C2服务器的信息如下：

行动建议

         1、排查是否已被入侵

• 使用微步在线相关产品的客户，请关注是否存在标签为“仿冒深信服V**事件”的告警。
• 紧急排查深信服SSL V**服务器“/sf/htdocsback/com/win/”路径下的“SangforUD.exe”文件并上传微步云沙箱s.threatbook.cn进行查杀分析。
• 安装深信服V**客户端的用户排查“%AppData% \Sangfor\SSL”目录是否存在“.SangforUD.sum”、“SangforUPD.exe”，如存在则已被安装木马。
• 安装深信服V**客户端的用户排查任务计划是否存在“Sangfor update”自启动项，如存在则已被安装木马。 2、做好V**安全防护
• 在网络出口及时阻断黑客相关C2，防止黑客进一步窃取敏感数据。
• 建议限制V**服务器的4430管理后台控制端口的公网访问，阻断黑客针对V**服务器管理后台进行的攻击。
• 建议对V**服务器管理后台登陆账号使用高复杂度密码，防止黑客利用爆破等手段获取V**服务器的控制权限。
• 积极关注厂商补丁和更新，及时安装补丁。

附录-IOC

103.216.221.19:80

103.216.221.19:8080

103.216.221.19:8081

参考链接

https://x.threatbook.cn/nodev4/ip/103.216.221.19

https://s.threatbook.cn/report/file/65495d173e305625696051944a36a031ea94bb3a4f13034d8be740982bc4ab75/?env=win7_sp1_enx86_office2013

https://s.threatbook.cn/report/file/93e9383ae8ad2371d457fc4c1035157d887a84bbfe66fbbb3769c5637de59c75/?sign=history&env=win7_sp1_enx64_office2013

https://s.threatbook.cn/report/file/8749c1495af4fd73ccfc84b32f56f5e78549d81feefb0c1d1c3475a74345f6a8/?sign=history&env=win7_sp1_enx86_office2013

文由微步在线