Sec Hotspot 首页  排行榜  收藏本站  技术博客  RSS
统计信息
已收录文章数量:15724 篇
已收录公众号数量:90 个
本站文章为爬虫采集,如有侵权请告知
已收录微信公众号
网安寻路人 网信中国 区块链大本营 白说区块链 区块链投资家 区块链官微 区块链铅笔Blockchain HACK学习呀 二道情报贩子 合天智汇 小白帽学习之路 小米安全中心 弥天安全实验室 SAINTSEC SecPulse安全脉搏 TideSec安全团队 360安全卫士 游侠安全网 计算机与网络安全 安全祖师爷 安全学习那些事 腾讯安全联合实验室 黑客技术与网络安全 安全圈 腾讯御见威胁情报中心 Python开发者 Python之禅 编程派 Python那些事 Python程序员 安全威胁情报 吾爱破解论坛 行长叠报 安在 i春秋 嘶吼专业版 E安全 MottoIN 网信防务 网安杂谈 数说安全 互联网安全内参 漏洞战争 安全分析与研究 邑安全 ChaMd5安全团队 天融信阿尔法实验室 安全牛 SecWiki 安全学术圈 信安之路 漏洞感知 浅黑科技 Secquan圈子社区 奇安信集团 奇安信 CERT 国舜股份 雷神众测 盘古实验室 美团安全应急响应中心 瓜子安全应急响应中心 顺丰安全应急响应中心 蚂蚁金服安全响应中心 携程安全应急响应中心 滴滴安全应急响应中心 字节跳动安全中心 百度安全应急响应中心 腾讯安全应急响应中心 网易安全应急响应中心 OPPO安全应急响应中心 京东安全应急响应中心 Bypass CNNVD安全动态 安恒应急响应中心 天融信每日安全简报 奇安信威胁情报中心 看雪学院 黑白之道 水滴安全实验室 安全客 木星安全实验室 云鼎实验室 绿盟科技安全预警 白帽汇 深信服千里目安全实验室 腾讯玄武实验室 长亭安全课堂 FreeBuf 绿盟科技 nmask
深信服SSL VPN设备被黑客利用攻击分析
本文来自公众号:安恒应急响应中心   2020.04.07 17:00:54


2020年4月6日,国内安全设备厂商深信服科技发布了一则《关于境外非法组织利用深信服SSL VPN设备下发恶意文件并发起APT攻击活动的说明》,说明了境外APT组织通过深信服VPN设备漏洞拿到权限后,进一步利用SSL VPN设备Windows客户端升级模块签名验证机制的缺陷植入后门的APT攻击活动,相关链接参考:https://mp.weixin.qq.com/s/lKp_3kPNEycXqfCnVPxoDw


根据该说明,安恒威胁情报中心对攻击事件进行深入关联分析,可以确定该攻击团伙的活动最早可以追溯到2018年,另外,此次攻击事件中,该攻击团伙利用定制的木马程序(GO语言编写)进行针对性的攻击。因此,我们将此次攻击活动定性为APT攻击。


攻击复盘



安恒威胁情报中心猎影团队对该攻击过程进行了复盘,其攻击过程大概如下:


1、攻击者通过密码爆破等手段控制部分深信服SSL VPN设备,篡改配置文件并使用木马程序替换升级程序SangforUD.exe。


2、客户端运行存在漏洞的VPN客户端(M6.3R1版本、 M6.1版本),会自动从被攻击者控制的VPN服务端进行更新,拉取升级程序SangforUD.exe,然后恶意代码在系统上执行。


样本分析



样本名,SangforUD.exe

首先,它会删除%appdata%路径下的Log和dump下面的文件


实际上,这两个路径保存vpn客户端运行的日志以及崩溃信息等


接着它会拷贝自身到%appdata%\Sangfor\SSL目录


后面它会将该目录的文件放入计划任务中运行


它会获取创建各种无窗口进程,收集系统信息、环境变量、用户名、域控信息、主机名、进程信息等信息


具体涉及的命令包括有:

  • C:\\Windows\\System32\\whoami.exe /all

  • C:\\Windows\\System32\\tasklist.exe /V

  • C:\\Windows\\System32\\net.exe group /domain

  • C:\\Windows\\System32\\net.exe user /domain

  • C:\\Windows\\System32\\HOSTNAME.EXE

  • C:\\Windows\\System32\\net.exe user

  • C:\\Windows\\System32\\cmd.exe /c set

  • C:\\Windows\\System32\\ipconfig.exe /all

  • C:\\Windows\\System32\\systeminfo.exe


除了通过系统命令收集信息以外,还通过系统api获取硬盘、文件等信息


构造特定的HTTP的Post数据包,包含一个“boundary=----974767299852498929531610575”的特殊字符串


HTTP头数据结构如果下图:


Post的数据被加密发送到103.216.221.19


接着接受服务器返回数据


由于服务器端没有反馈数据,后续分析无法继续,但是通过静态观察可以发现,其会接受服务端反馈数据以后执行。


关联分析



  • 通过特殊的boundary检索


通过安恒威胁分析平台分析字符串检索功能查找看着很特殊的boundary字符串信息“974767299852498929531610575”,发现了几个文件,其中一个文件md5: bfe2a5c32be6c2ba0f8fd96e8e5f7f20,它的上传文件功能函数也使用了该特殊字符串。


但是通过搜索引擎检测时,发现该串值曾在开源的代码里面使用过,所以不能做为关联的直接依据:


  • 通过回连地址检索


继续使用安恒威胁分析平台进行关联文件,发现与“103.216.221.19”回连的还有多个样本,选取其中一个样本MD5值是429be60f0e444f4d9ba1255e88093721分析,它使用 GO语言编写,


通过字符串信息可以知道项目名称是SangforPromote.exe,很明显针对深信服定制开发。


该项目可以发现一个叫botlib的类,用于botnet的管理,包含加入、执行、下载等功能


其回连地址

  • 103.216.221.19:8080

  • 103.216.221.19:8081


数据传输的过程中使用了手段,程序内置多个RSA公、私钥


继续深入挖掘,我们发现一个类似的样本,md5: 6fd56f2df05a77bdfd3265a4d1f2abac


其在2018年被日本CERT曝光,它也是用Go语言写,他们定义该恶意软件为WellMess


在我们分析的这个样本里面也包含了这个“wellMess”的函数,所以我们也认为该后门是wellMess


通过观察发现其源代码和功能非常接近,我们推测这2次的攻击是由同一个黑客组织内部共享源代码!之前黑客是在linux系统环境下开发和编译,现在是在windows系统环境下开发和编译。



防御建议与总结



企业应当注重培养人员安全意识,不轻易打开未知来源的邮件及附件,不随意点击未知链接,不随意打开未验证可靠来源的文档。及时为信息系统打好补丁。


部署安恒APT预警平台,安恒APT预警平台能够发现已知或未知的威胁,APT预警平台的实时监控能力能够捕获并分析邮件附件投递文档或程序的威胁性,并能够对邮件投递,漏洞利用、安装植入、回连控制等各个阶段做强有力的监测。结合安恒威胁情报系统,可将国内外的威胁数据进行汇总,并分析整个攻击演进和联合预警。



相关参考

https://mp.weixin.qq.com/s/lKp_3kPNEycXqfCnVPxoDw

https://blogs.jpcert.or.jp/en/2018/07/malware-wellmes-9b78.html

IOC信息

IP:

103.216.221.19

文件MD5:

a32e1202257a2945bf0f878c58490af8
c5d5cb99291fa4b2a68b5ea3ff9d9f9a
967fcf185634def5177f74b0f703bdc0

429be60f0e444f4d9ba1255e88093721

18427cdcb5729a194954f0a6b5c0835a