重大威脅之際總是催生著新變革，新變革之中又暗藏風險與隱患！

近日，360安全大腦捕獲到一起劫持深信服VPN的安全服務從而下發惡意檔案的APT攻擊活動，我們已第一時間將漏洞細節報告給廠商並得到確認。

通過進一步追蹤溯源發現，此次攻擊者為來自半島的APT組織Darkhotel（APT-C-06），今年3月開始已失陷的VPN伺服器超200臺, 中國多處駐外機構遭到攻擊，4月初攻擊態勢又再向北京、上海相關政府機構蔓延。

更為緊要的是，根據監測分析發現，攻擊者已控制了大量相關單位的VPN伺服器並控制了大量相關單位的計算機終端裝置。

VPN（Virtual Private Network）：一種利用公共網路來支援許多分支機構或使用者之間的“安全通訊橋樑“，遠端使用者或商業合作伙伴則可通過 VPN 隧道穿透企業網路邊界，訪問企業內部資源，實現即使不在企業內部也能享有本地的訪問許可權。 

尤其在這場全球性疫情博弈之戰中，VPN在企業、政府機構的遠端辦公中起著不可或缺的重要作用，雲辦公模式也正在經歷著繁榮攀升期。但隨著疫情的蔓延，不少安全專家也提出了對VPN安全性的擔憂，VPN一旦被黑客組織攻陷，眾多企事業單位的內部資產將暴露在公網之下，沒有任何安全保障，損失將不可估量。 

而這一切的擔憂，比我們預想的來的都要早了一些。

全球進入緊急“戒嚴”勢態
遠端辦公成疫情之下工作方式首選

據媒體報導，截至北京時間4月6日10時00分，全球新冠肺炎確診病例已經超119萬例，達到1194698例，累計死亡66162例。

2020年一開年，新冠病毒就以肆虐全球之勢，給人類沉重一擊。然而，苦難與希望同在。重大威脅之際總是催生著新變革。就在全球進入緊急“戒嚴”之際，遠端辦公提前走進國家企事業單位辦公之中。

上述我們已經知道，遠端辦公能夠實現的核心是VPN。這也意味著，一旦VPN漏洞被黑客利用發動攻擊，使用VPN遠端辦公的相關單位無疑又陷入到另一場更加緊急、殘酷的威脅之中。

360安全大腦獨家捕獲半島攻擊組織Darkhotel
劫持深信服VPN裝置對駐外機構及政府單位發動攻擊

近日，360安全大腦捕獲到半島APT組織Darkhotel（APT-C-06），劫持深信服VPN安全服務下發惡意檔案，鎖定中國駐外機構、政府相關單位發動定向攻擊。截至目前，被攻擊單位有大量VPN使用者已經中招。

Darkhotel組織是誰？

Darkhotel中文名為“黑店”，它是一個有著東亞背景，長期針對企業高管、政府機構、國防工業、電子工業等重要機構實施網路間諜攻擊活動的APT組織。其足跡遍佈中國、朝鮮、日本、緬甸、俄羅斯等國家，相關攻擊行動最早可以追溯到2007年。

這並不是Darkhotel組織首次對我國發動攻擊。此前，360安全大腦就曾全球首家捕獲到半島APT組織Darkhotel在Win 7停服之際，利用“雙星”0day漏洞，瞄準我國商貿相關的政府機構發動攻擊。（相關閱讀：《再揭祕一場陰謀！半島APT“趁勢之危”對我國商貿相關政府機構發動攻擊！陰險狡詐！》）

這一次它又是如何發動攻擊的？

首先，360安全大腦在安全監控中發現了異常，相關單位的使用者在使用VPN客戶端時，預設觸發的升級過程被黑客劫持，升級程式被黑客組織替換並植入了後門程式，其完整攻擊過程如下：

其次，360安全大腦進行了進一步的追蹤，發現攻擊者已經攻破相關單位的VPN伺服器，將VPN伺服器上的正常程式替換偽造成了後門程式，攻擊者模仿正常程式對後門程式進行了簽名偽裝，普通人難以察覺。

圖1  木馬（左）和正常升級程式（右）簽名對比
 

然後，360安全大腦對攻擊活動進行了還原分析，發現此次攻擊活動是深信服VPN客戶端中深藏的一個漏洞被APT組織所利用。

該漏洞存在於VPN客戶端啟動連線伺服器時預設觸發的一個升級行為，當使用者使用啟動VPN客戶端連線VPN伺服器時，客戶端會從所連線的VPN伺服器上固定位置的配置檔案獲取升級資訊，並下載一個名為SangforUD.exe的程式執行。

由於開發人員缺乏安全意識，整個升級過程存在安全漏洞，客戶端僅對更新程式做了簡單的版本對比，沒有做任何的安全檢查。導致黑客攻破VPN伺服器後篡改升級配置檔案並替換升級程式，利用此漏洞針對VPN使用者定向散播後門程式。

圖 2 Sangfor VPN客戶端中的漏洞程式碼

最後，360安全大腦定位分析了此次攻擊的後門程式，攻擊者精心設計了後門的控制方式，完全通過雲端下發shellcode的形式執行程式碼，整個攻擊過程十分複雜且隱蔽。

圖 3 後門程式攻擊流程

後門程式啟動後會先建立執行緒，訪問遠端的C&C伺服器下載shellcode執行。

圖 4 shellcode執行還原虛擬碼

第一階段的shellcode會獲取終端的IP/MAC/系統版本/程式等軟硬體資訊，上傳至遠端的C&C伺服器。

圖5 第一階段shellcode還原分析

第二階段shellcode該後門會開始安裝惡意DLL元件，該元件以劫持印表機服務的方式在系統中持久駐留。該駐留方式罕見的使用了老舊版本的系統白檔案進行劫持攻擊，攻擊者通過修改登錄檔，安裝老版本的存在dll劫持缺陷的印表機系統元件（TPWinPrn.dll），利用該缺陷載入核心的後門惡意元件（thinmon.dll）

圖6 惡意DLL元件還原分析

核心後門元件thinmon.dll會解密雲端下發的另外一個加密檔案Sangfor_tmp_1.dat，以載入、執行緒啟動、注入程式3種方式中的一種啟動dat檔案 ，最終由dat檔案實現與伺服器互動執行惡意操作。

圖7 惡意DLL元件還原分析2

Darkhotel（APT-C-06）組織緣何發起攻擊？又存多大隱患？

據瞭解，全球疫情爆發蔓延的當下，除中國外的世界各國政府似乎都早已處在水深火熱之中，原因有三：

一方面各國政府機構在面對突如其來的疫情，不知採取何種手段來緩解人員流動、經濟發展、交通限流等措施；

二是醫療物資的儲備及防疫物資的缺乏，正在讓疫情影響下的國家陷入癱瘓狀態；

三是存量病例及死亡人數的攀升，引發了民眾的恐慌情緒；

而這些不得不讓我們關聯到Darkhotel（APT-C-06）組織在疫情期間攻擊我國駐外機構及政府等相關機構的目的。 

而據360安全大腦披露，攻擊者已完全控制上述相關單位的VPN伺服器，並將VPN伺服器上的關鍵升級程式替換為了後門程式， 由於VPN使用者一旦登入成功，就會被完全授信。所以可以說，攻擊者已經控制了大量相關單位的計算機終端。 

試想一下，在全球疫情蔓延的當下，駐外機構及企事業單位都紛紛採取“雲辦公”模式，大量的員工都會通過VPN與總部建立聯絡、傳輸資料，而此次VPN被攻擊，後果勢必不堪設想。

根據此線索，我們再向前推測一步

攻擊：中國多處駐外機構

今年新冠疫情全球爆發，在中國取得顯著救疫成效之後，各國又相繼淪陷，中國秉承著“人類命運共同體”的原則，相繼向周邊國家伸出援助之手，從醫療技術、裝置、經驗、專家等角度進行全力支援。

從疫情角度：此次Darkhotel通過攻破VPN的手段，攻擊中國多處駐外機構，是否意在掌握劫持我國在救疫期間的先進醫療技術、救疫措施？是否通過駐外機構動態來進一步探究世界各國的疫情真實情況及資料？又是否通過攻擊中國駐外機構來掌握中國向世界各國輸送救疫物資的運輸軌跡、數量、裝置?

從經濟角度：是否通過掌握政治、經濟貿易來往資料，間接關聯到各國與中國的核心利益紐帶，疫情之後的經濟緩解措施？從而進一步推動疫情之後本國經濟崛起及各國利益關係？ 

攻擊：北京、上海等相關政府單位

同樣在全球疫情之下，各大企事業單位紛紛採取雲上辦公的模式，各項救疫措施、經濟舉措、復工手段、企業資料紛紛通過VPN下發或回傳指令，此次Darkhotel攻擊北京、上海等相關政府單位，是否又在掌握本國疫情資料、經濟復甦手段呢？

360安全大腦監測發現，以下政府相關機構人員遭到攻擊：

VPN為何成為攻擊突破口？
在相關漏洞分析中發現，其中一臺深信服被攻擊的VPN伺服器版本為M6.3 R1，該版本發行於2014年，由於版本過於老舊，存在大量安全漏洞。

同時該相關單位的運維開發人員的安全意識不強，為了工作便利，將所維護的客戶的敏感資訊儲存在工作頁上. 涉及2個洩露資料頁如下：http://yuan*.cn/*/*.htmlhttp://yuan*.cn/*/*.html

正是因為關鍵基礎設施的安全漏洞和相關人員的薄弱安全意識，才導致了VPN伺服器被黑客攻破。

關於漏洞報告時間線：
2020年4月3日 360向深信服應急安全響應中心書面報告漏洞，同時與深信服溝通漏洞細節，官方確認漏洞編號（SRC-2020-281）進行跟進。

2020年4月6日 深信服官方正式釋出安全公告，並啟動漏洞響應。

360安全大腦給出以下修復建議：

1.管理員參照VPN廠商的升級方案將VPN伺服器系統升級到最新版本，修復已知的安全漏洞。

2.管理員限制外網或非信任IP訪問VPN伺服器的控制檯管理埠，阻斷黑客針對VPN伺服器管理後臺進行的攻擊入侵。

3.管理員加強賬號保護，使用高強度高安全級別的密碼，防止管理員密碼被暴力猜解。

4.VPN使用者避免使用VPN客戶端連線不受信任的VPN伺服器。

5.VPN使用者使用360安全衛士對所有盤進行全面防毒，開啟實時保護防禦該漏洞的攻擊。