4月6日,深信服官方發表《關於境外非法組織利用深信服SSL VPN裝置下發惡意檔案併發起APT攻擊活動的說明》(詳見參考文獻),稱境外黑客組織利用其SSL VPN裝置發起惡意攻擊,綠盟科技威脅情報中心對該事件密切關注,對該事件做了整體的梳理和分析,提請廣大使用者關注自己的SSL VPN裝置,注意自查(受該事件影響的深信服SSL VPN裝置版本號為M6.3R1、M6.1版本),並及時更新相關補丁。
綠盟科技威脅情報中心已支援對該事件的檢測(網址:https://nti.nsfocus.com)。
事件概況
境外黑客組織通過非法手段控制部分深信服SSL VPN裝置,並利用客戶端升級漏洞(本次漏洞為SSL VPN裝置Windows客戶端升級模組簽名驗證機制的缺陷)下發惡意檔案到客戶端,從而進行APT攻擊活動,綠盟威脅情報中心已支援對該事件的IOC檢測,詳情如下:
涉及到該事件的C&C伺服器的威脅知識圖譜如下:
涉及到該事件的幾個典型惡意檔案詳情如下:
處置建議
1、 依照深信服官方給出的處置建議(詳見參考文獻),建議使用者限制外網或非信任IP訪問VPN伺服器的4430控制檯管理埠,阻斷黑客針對VPN伺服器管理後臺進行的攻擊;並儘快從官方渠道安裝相關補丁
2、 使用綠盟威脅情報中心釋出的IOC進行檢測,採用專殺工具對木馬檔案徹底查殺。
相關威脅情報
完整IOC(持續更新中):
1、C&C:103.216.221.19
2、檔名:SangforUD.EXE,MD5:a32e1202257a2945bf0f878c58490af8,
3、檔名:SangforUD.EXE,MD5:967fcf185634def5177f74b0f703bdc0
4、檔名:SangforUD.EXE,MD5:c5d5cb99291fa4b2a68b5ea3ff9d9f9a
5、檔名:e58b8de07372b9913ca2fbd3b103bb8f.virus,
MD5:e58b8de07372b9913ca2fbd3b103bb8f
6、檔名:m.exe,MD5:429be60f0e444f4d9ba1255e88093721
7、檔名:93e9383ae8ad2371d457fc4c1035157d887a84bbfe66fbbb3769c5637de59c75,
MD5:18427cdcb5729a194954f0a6b5c0835a
8、檔名:SANARISOR.EXE,MD5:a93ece16bf430431f9cae0125701f527
參考文獻
https://mp.weixin.qq.com/s/lKp_3kPNEycXqfCnVPxoDw