中国驻外机构正遭受攻击!深信服VPN设备成境外国家级黑客突破口

发布时间:2020-04-07

近日,360捕获到一起劫持深信服VPN的安全服务从而下发恶意文件的APT攻击活动,已第一时间将漏洞细节报告给厂商并得到确认。

通过进一步追踪溯源发现,此次攻击者为来自半岛的APT组织Darkhotel(APT-C-06),今年3月开始已失陷的VPN服务器超200台, 中国多处驻外机构遭到攻击,4月初攻击态势又再向北京、上海相关政府机构蔓延。

更为紧要的是,根据监测分析发现,攻击者已控制了大量相关单位的VPN服务器并控制了大量相关单位的计算机终端设备。

VPN(Virtual Private Network):一种利用公共网络来支持许多分支机构或用户之间的“安全通信桥梁“,远程用户或商业合作伙伴则可通过 VPN 隧道穿透企业网络边界,访问企业内部资源,实现即使不在企业内部也能享有本地的访问权限。

尤其在这场全球性疫情博弈之战中,VPN在企业、政府机构的远程办公中起着不可或缺的重要作用,云办公模式也正在经历着繁荣攀升期。但随着疫情的蔓延,不少安全专家也提出了对VPN安全性的担忧,VPN一旦被黑客组织攻陷,众多企事业单位的内部资产将暴露在公网之下,没有任何安全保障,损失将不可估量。

而这一切的担忧,比我们预想的来的都要早了一些。

全球进入紧急“戒严”势态,远程办公成疫情之下工作方式首选

据媒体报道,截至北京时间4月6日10时00分,全球新冠肺炎确诊病例已经超119万例,达到1194698例,累计死亡66162例。2020年一开年,新冠病毒就以肆虐全球之势,给人类沉重一击。然而,苦难与希望同在。重大威胁之际总是催生着新变革。就在全球进入紧急“戒严”之际,远程办公提前走进国家企事业单位办公之中。

上述我们已经知道,远程办公能够实现的核心是VPN。这也意味着,一旦VPN漏洞被黑客利用发动攻击,使用VPN远程办公的相关单位无疑又陷入到另一场更加紧急、残酷的威胁之中。

半岛APT组织Darkhotel(APT-C-06),劫持深信服VPN安全服务下发恶意文件,锁定中国驻外机构、政府相关单位发动定向攻击。截至目前,被攻击单位有大量VPN用户已经中招。

Darkhotel组织是谁?Darkhotel中文名为“黑店”,它是一个有着东亚背景,长期针对企业高管、政府机构、国防工业、电子工业等重要机构实施网络间谍攻击活动的APT组织。其足迹遍布中国、朝鲜、日本、缅甸、俄罗斯等国家,相关攻击行动最早可以追溯到2007年。

这并不是Darkhotel组织首次对我国发动攻击。此前,360安全大脑就曾全球首家捕获到半岛APT组织Darkhotel在Win 7停服之际,利用“双星”0day漏洞,瞄准我国商贸相关的政府机构发动攻击。这一次它又是如何发动攻击的?

首先,相关单位的用户在使用VPN客户端时,默认触发的升级过程被黑客劫持,升级程序被黑客组织替换并植入了后门程序,其次,攻击者已经攻破相关单位的VPN服务器,将VPN服务器上的正常程序替换伪造成了后门程序,攻击者模仿正常程序对后门程序进行了签名伪装,普通人难以察觉。 然后,此次攻击活动是深信服VPN客户端中深藏的一个漏洞被APT组织所利用。该漏洞存在于VPN客户端启动连接服务器时默认触发的一个升级行为,当用户使用启动VPN客户端连接VPN服务器时,客户端会从所连接的VPN服务器上固定位置的配置文件获取升级信息,并下载一个名为SangforUD.exe的程序执行。由于开发人员缺乏安全意识,整个升级过程存在安全漏洞,客户端仅对更新程序做了简单的版本对比,没有做任何的安全检查。导致黑客攻破VPN服务器后篡改升级配置文件并替换升级程序,利用此漏洞针对VPN用户定向散播后门程序。

最后,攻击者精心设计了后门的控制方式,完全通过云端下发shellcode的形式执行代码,整个攻击过程十分复杂且隐蔽。后门程序启动后会先创建线程,访问远程的C&C服务器下载shellcode执行。执行还原伪代码第一阶段的shellcode会获取终端的IP/MAC/系统版本/进程等软硬件信息,上传至远程的C&C服务器。第二阶段shellcode该后门会开始安装恶意DLL组件,该组件以劫持打印机服务的方式在系统中持久驻留。该驻留方式罕见的使用了老旧版本的系统白文件进行劫持攻击,攻击者通过修改注册表,安装老版本的存在dll劫持缺陷的打印机系统组件(TPWinPrn.dll),利用该缺陷加载核心的后门恶意组件(thinmon.dll)核心后门组件thinmon.dll会解密云端下发的另外一个加密文件Sangfor_tmp_1.dat,以加载、线程启动、注入进程3种方式中的一种启动dat文件 ,最终由dat文件实现与服务器交互执行恶意操作。

VPN为何成为攻击突破口?在相关漏洞分析中发现,其中一台深信服被攻击的VPN服务器版本为M6.3 R1,该版本发行于2014年,由于版本过于老旧,存在大量安全漏洞。

同时该相关单位的运维开发人员的安全意识不强,为了工作便利,将所维护的客户的敏感信息保存在工作页上. 涉及2个泄露数据页如下:http://yuan*.cn/*/*.htmlhttp://yuan*.cn/*/*.html

 正是因为关键基础设施的安全漏洞和相关人员的薄弱安全意识,才导致了VPN服务器被黑客攻破。

关于漏洞报告时间线:2020年4月3日 360向深信服应急安全响应中心书面报告漏洞,同时与深信服沟通漏洞细节,官方确认漏洞编号(SRC-2020-281)进行跟进。2020年4月6日 深信服官方正式发布安全公告,并启动漏洞响应。

修复建议:

1.管理员参照VPN厂商的升级方案将VPN服务器系统升级到最新版本,修复已知的安全漏洞。

2.管理员限制外网或非信任IP访问VPN服务器的控制台管理端口,阻断黑客针对VPN服务器管理后台进行的攻击入侵。

3.管理员加强账号保护,使用高强度高安全级别的密码,防止管理员密码被暴力猜解。

4.VPN用户避免使用VPN客户端连接不受信任的VPN服务器。

5.VPN用户使用360安全卫士对所有盘进行全面杀毒,开启实时保护防御该漏洞的攻击。

版权所有 © 皖西学院信息化建设与管理中心
地址:六安市皖西学院本部逸夫楼一楼
邮编:237012 电话:3305046 3307929 邮箱:admin@wxc.edu.cn