|
原题:中国驻外机构遭受境外嘿客攻击!深信服VPN设备成嘿客突破口
 rKv免费翻墙网
近日,360安全大脑发现半岛APT组织Darkhotel(APT-C-06),劫持深信服VPN安全服务下发恶意文件,锁定中国驻外机构、政府相关单位发动定向攻击。截至目前,被攻击单位有大量VPN用户已经中招。360已第一时间将漏洞细节报告给厂商。rKv免费翻墙网
据了解,此次攻击者为来自半岛的APT组织Darkhotel(APT-C-06),今年3月开始,中国多处驻外机构遭到攻击,4月初又攻击北京、上海相关政府机构。更严重的是,根据监测分析发现,攻击者已控制了大量相关单位的VPN服务器并控制了大量相关单位的计算机终端设备。rKv免费翻墙网
VPN(Virtual Private Network)是一种利用公共网络来支持许多分支机构或用户之间的“安全通信桥梁“,远程用户或商业合作伙伴则可通过 VPN 隧道穿透企业网络边界,访问企业内部资源,实现即使不在企业内部也能享有本地的访问权限。尤其在这场全球性疫情博弈之战中,VPN在企业、政府机构的远程办公中起着不可或缺的重要作用,云办公模式也正在经历着繁荣攀升期。随着疫情的蔓延,不少安全专家也提出了对VPN安全性的担忧,VPN一旦被嘿喀组织攻陷,众多企事业单位的内部资产将暴露在公网之下,没有任何安全保障,损失将不可估量。“而这一切的担忧,比我们预想的来的都要早了一些。”360安全专家表示。rKv免费翻墙网
rKv免费翻墙网
 rKv免费翻墙网
rKv免费翻墙网
Darkhotel组织是谁?rKv免费翻墙网
Darkhotel中文名为“黑店”,它是一个有着东亚背景,长期针对企业高管、政府机构、国防工业、电子工业等重要机构实施网络间谍攻击活动的APT组织。其足迹遍布中国、朝鲜、日本、缅甸、俄罗斯等国家,相关攻击行动最早可以追溯到2007年。这并不是Darkhotel组织首次对我国发动攻击。此前,360安全大脑就曾全球首家捕获到半岛APT组织Darkhotel在Win 7停服之际,利用“双星”0day漏洞,瞄准我国商贸相关的政府机构发动攻击。rKv免费翻墙网
这一次它又是如何发动攻击的?rKv免费翻墙网
据悉,360安全大脑在安全监控中发现相关单位的用户在使用VPN客户端时,默认触发的升级过程被嘿喀劫持,升级程序被嘿喀组织替换并植入了后门程序,其完整攻击过程如下:rKv免费翻墙网
rKv免费翻墙网
 rKv免费翻墙网
360安全大脑进行了进一步的追踪,发现攻击者已经攻破相关单位的VPN服务器,将VPN服务器上的正常程序替换伪造成了后门程序,攻击者模仿正常程序对后门程序进行了签名伪装,普通人难以察觉。rKv免费翻墙网
 rKv免费翻墙网
图 沐马(左)和正常升级程序(右)签名对比rKv免费翻墙网
360安全大脑对攻击活动进行了还原分析,发现此次攻击活动是深信服VPN客户端中深藏的一个漏洞被APT组织所利用。该漏洞存在于VPN客户端启动连接服务器时默认触发的一个升级行为,当用户使用启动VPN客户端连接VPN服务器时,客户端会从所连接的VPN服务器上固定位置的配置文件获取升级信息,并下载一个名为SangforUD.exe的程序执行。rKv免费翻墙网
由于开发人员缺乏安全意识,整个升级过程存在安全漏洞,客户端仅对更新程序做了简单的版本对比,没有做任何的安全检查。导致嘿喀攻破VPN服务器后篡改升级配置文件并替换升级程序,利用此漏洞针对VPN用户定向散播后门程序。rKv免费翻墙网
据分析,此次攻击者精心设计了后门的控制方式,完全通过云端下发shellcode的形式执行代码,整个攻击过程十分复杂且隐蔽。后门程序启动后会先创建线程,访问远程的C&C服务器下载shellcode执行。rKv免费翻墙网
360安全大脑监测发现,中国多处驻外机构、北京、上海等相关政府机构人员遭到攻击:rKv免费翻墙网
 rKv免费翻墙网
rKv免费翻墙网
 rKv免费翻墙网
rKv免费翻墙网
VPN为何成为攻击突破口?rKv免费翻墙网
在相关漏洞分析中发现,其中一台深信服被攻击的VPN服务器版本为M6.3 R1,该版本发行于2014年,由于版本过于老旧,存在大量安全漏洞。同时该相关单位的运维开发人员的安全意识不强,为了工作便利,将所维护的客户的敏感信息保存在工作页上. 涉及2个泄露数据页如下:http://yuan*.cn/*/*.htmlhttp://yuan*.cn/*/*.htmlrKv免费翻墙网
正是因为关键基础设施的安全漏洞和相关人员的薄弱安全意识,才导致了VPN服务器被嘿喀攻破。rKv免费翻墙网
支招:360安全专家建议按以下方式修复rKv免费翻墙网
1.管理员参照VPN厂商的升级方案将VPN服务器系统升级到最新版本,修复已知的安全漏洞。rKv免费翻墙网
2.管理员限制外网或非信任IP访问VPN服务器的控制台管理端口,阻断嘿喀针对VPN服务器管理后台进行的攻击入侵。rKv免费翻墙网
3.管理员加强账号保护,使用高强度高安全级别的密码,防止管理员密码被暴力猜解。rKv免费翻墙网
4.VPN用户避免使用VPN客户端连接不受信任的VPN服务器。rKv免费翻墙网
5.VPN用户使用360安全卫士对所有盘进行全面杀毒,开启实时保护防御该漏洞的攻击。rKv免费翻墙网
广州日报全媒体文字记者倪明rKv免费翻墙网
广州日报全媒体图片记者王燕rKv免费翻墙网
广州日报全媒体编辑 黄达兼rKv免费翻墙网
rKv免费翻墙网
深信服发布针对SSL VPN漏洞的整体修复方案
针对近日某嘿喀组织利用个别深信服用户的SSL VPN设备漏洞的事件,深信服第一时间成立应急事件小组,研究应对本次事件的用户对策。
经过48小时的不懈努力,深信服已完成全面安全风险排查,紧急发布SSL VPN产品修复补丁。用户安装修复补丁升级SSL VPN产品后,可自动更新并恢复被篡改的客户端,抵御恶意攻击。除修复补丁外,针对本次恶意攻击,深信服已上线包含篡改检测工具、恶意软件查杀工具等在内的整体解决方案,用户可根据自身情况安装使用,全面消除安全隐患。rKv免费翻墙网
事件溯源rKv免费翻墙网
经深信服千里目实验室分析发现,该事件的始作俑者为某嘿喀组织,其通过密码爆破等手段控制少量深信服SSL VPN设备,并利用SSL VPN客户端升级漏洞下发恶意文件到客户端,威胁用户安全。rKv免费翻墙网
本次漏洞系SSL VPN设备Windows客户端升级模块签名验证机制的缺陷,但该漏洞利用前提需通过获取SSL VPN设备管理员账号密码等方式控制SSL VPN设备的权限,因此利用难度较高。经深信服监测,目前受影响用户数量有限。rKv免费翻墙网
深信服应对方案指引rKv免费翻墙网
1.安装客户端修复补丁rKv免费翻墙网
针对此次发现的漏洞,深信服已全面排查安全隐患,SSL VPN产品修复补丁已正式发布。rKv免费翻墙网
修复补丁包下载地址:rKv免费翻墙网
https://bbs.sangfor.com.cn/activity.php?mod=packsrKv免费翻墙网
※操作指南:下载补丁包后,在VPN设备上升级该补丁包,升级后客户端用户登录VPN时将自动更新修复后的客户端。rKv免费翻墙网
2.使用专属脚本检测工具检测rKv免费翻墙网
深信服已发布SSL VPN设备篡改检测脚本工具,对于担心VPN设备被恶意入侵的用户,可使用该脚本工具自行检测SSL VPN设备是否被控制篡改。rKv免费翻墙网
自检工具地址及使用说明文档:rKv免费翻墙网
http://download.sangfor.com.cn/download/product/sslvpn/SSL VPN设备EC控件检测工具v1.1.ziprKv免费翻墙网
(请复制上述完整地址进行下载查看)rKv免费翻墙网
3.使用恶意文件查杀工具查杀rKv免费翻墙网
针对入侵SSL VPN设备的恶意文件,深信服已发布32位和64位系统的查杀工具,实现恶意文件的彻底查杀。如果自检确认遭受恶意文件感染,请通过下方链接下载安装恶意文件查杀工具,消除威胁。rKv免费翻墙网
32位系统查杀工具下载地址:rKv免费翻墙网
http://download.sangfor.com.cn/download/product/edr/download/SfabAntiBot_X86.ziprKv免费翻墙网
64位系统查杀工具下载地址:rKv免费翻墙网
http://download.sangfor.com.cn/download/product/edr/download/SfabAntiBot_X64.ziprKv免费翻墙网
※操作指南:下载运行查杀工具后,点击「全盘扫描」按钮,即可进行全盘查杀。rKv免费翻墙网
 rKv免费翻墙网
深信服终端检测响应平台EDR也已支持检测查杀该恶意文件,安装EDR的用户只需更新规则库到20200406135939及以上版本,即可全网查杀该恶意沐马。rKv免费翻墙网
|
