TAG:V**、Sangfor、远控
TLP:白(报告使用及转发不受限制)
日期:2020-04-06
摘要
自1月下旬起,微步情报局捕获多个伪装成深信服V**升级程序SangforUD.exe的恶意样本,经核实发现:
- 此次事件是黑客利用非法控制的深信服SSL V**设备,利用其客户端升级校验缺陷,投递具备恶意功能的升级文件“SangforUD.exe”到VPN客户端。
- 攻击者投递的后门是一个具备持久化攻击能力的木马下载器,通过HTTP方式回传加密的系统信息和下载下阶段载荷运行,建议使用深信服V**产品的用户高度重视,并参考文末【处置建议】立即进行检测,我们提供了多种排查手段。
- 核实发现该组织于2020年1月起使用的C2资产中,包括位于香港的ip地址(103.216.221.19),目前该C2服务器的8080和8081端口均尚存活。
- 此次事件相关情报已自动下发,可用于威胁情报检测。微步在线威胁检测平台(TDP)、威胁情报管理平台(TIP)、威胁情报云API均已支持该组织最新攻击的检测。如需协助,请与我们联系: contactus@threatbook.cn。
事件概要
攻击目标 | 东北亚地区、中国 |
---|---|
攻击时间 | 2020年1月至今 |
攻击向量 | 利用SSL V**服务器投递恶意升级文件 |
攻击复杂度 | 中 |
最终目的 | 远程控制、信息窃取 |
事件详情
自2020年1月下旬起,微步在线安全云捕获到多个伪装成深信服V**升级程序SangforUD.exe的恶意样本。分析发现,投递的恶意样本具备木马下载器功能,将内置加密的配置信息写入任务计划达到持久化攻击的效果,通过HTTP请求方式回传加密后的主机信息,包括:网络配置信息、whoami、进程信息、域控信息、主机名、用户信息、环境变量、系统信息等,最后通过HTTP获取C2服务器的数据等待下阶段载荷运行。
1.样本大体流程如下:
2.解密出字符串“Chinese (Simplified)_People's Republic of China”。
3.查找“%APPDATA%目录下的"SangforSSLLog”和“SangforSSLDump”路径带“.”字符串的文件并且删除,该文件储存了HTTP请求中的” _ga”值,代码如下:
4.拷贝自身文件到“AppDataRoamingSangforSSL”目录,代码如下:
5.通过系统命令“whoami.exe /all”、“tasklist.exe /V”、“net.exe group /domain”、“HOSTNAME.EXE”、“net.exe user”、“cmd.exe /c set”、“ipconfig.exe /all”和“systeminfo.exe”获取主机信息,并且加密回传到C2服务器,代码如下:
6.其中HTTP提交的具备一定的特征,如固定的“----974767299852498929531610575”字符串,HTTP请求代码如下:
7.信息回传的数据动态调试截图如下:
8.然后判断是否管理员权限,如果是则解密自身携带的配置文件,配置包括持久化攻击信息、命令等,配置信息如下:
9.利用任务计划写入持久化相关的信息,代码如下:
10.写入的任务计划项如下,其中启动程序路径指向“%AppData% SangforSSLSangforUPD.exe”:
11.恶意文件最终循环从C2服务器获取数据,并且保存文件到” AppDataRoamingSangforSSL”目录下,然后通过CreateProcess命令执行下载的载荷,其中代码如下:
12.相关C2服务器的信息如下:
行动建议
1、排查是否已被入侵
- 使用微步在线相关产品的客户,请关注是否存在标签为“仿冒深信服V**事件”的告警。
- 紧急排查深信服SSL V**服务器“/sf/htdocsback/com/win/”路径下的“SangforUD.exe”文件并上传微步云沙箱s.threatbook.cn进行查杀分析。
- 安装深信服V**客户端的用户排查“%AppData% SangforSSL”目录是否存在“.SangforUD.sum”、“SangforUPD.exe”,如存在则已被安装木马。
- 安装深信服V**客户端的用户排查任务计划是否存在“Sangfor update”自启动项,如存在则已被安装木马。 2、做好V**安全防护
- 在网络出口及时阻断黑客相关C2,防止黑客进一步窃取敏感数据。
- 建议限制V**服务器的4430管理后台控制端口的公网访问,阻断黑客针对V**服务器管理后台进行的攻击。
- 建议对V**服务器管理后台登陆账号使用高复杂度密码,防止黑客利用爆破等手段获取V**服务器的控制权限。
- 积极关注厂商补丁和更新,及时安装补丁。
附录-IOC
103.216.221.19:80
103.216.221.19:8080
103.216.221.19:8081
参考链接
https://x.threatbook.cn/nodev4/ip/103.216.221.19
https://s.threatbook.cn/report/file/65495d173e305625696051944a36a031ea94bb3a4f13034d8be740982bc4ab75/?env=win7_sp1_enx86_office2013
https://s.threatbook.cn/report/file/93e9383ae8ad2371d457fc4c1035157d887a84bbfe66fbbb3769c5637de59c75/?sign=history&env=win7_sp1_enx64_office2013
https://s.threatbook.cn/report/file/8749c1495af4fd73ccfc84b32f56f5e78549d81feefb0c1d1c3475a74345f6a8/?sign=history&env=win7_sp1_enx86_office2013
文由微步在线