AG公司

English

清静产品与计划
行业解决计划
清静服务与运营
清静研究
相助同伴
手艺支持

基础设施清静
数据清静
云盘算清静
工业互联网清静
物联网清静
信息手艺应用立异
所有产品
所有解决计划

基础设施清静

网络清静

清静治理

应用清静

终端清静

身份与会见治理

解决计划

CH

EN

清静产品与计划

基础设施清静网络清静清静治理应用清静终端清静身份与会见治理解决计划数据清静数据清静产品解决计划云盘算清静云盘算清静产品解决计划工业互联网清静工业互联网清静产品解决计划物联网清静物联网清静产品解决计划信息手艺应用立异信创类清静产品
行业解决计划

政府运营商金融能源交通企业科教文卫
清静服务与运营

基础服务清静咨询清静测试清静运维应急响应清静开发场景服务红蓝对抗重保支持数据清静服务DSS 勒索评估服务RPG 企业清静运营中心建设SOC 蓝军一体化平台NICP 自动化渗透测试工具EZ 清静运营服务 AG公司网站清静监测服务Websafe AG公司黑洞云洗濯服务 CCSS AG公司网站云防护服务 WCP AG公司威胁情报中心NTI AG公司科技威胁情报云端解决计划 AG公司科技威胁情报外地解决计划 AG公司威胁检测与响应服务MDR AG公司外部攻击面治理服务EASM AG公司轻量化渗透测试服务PTaaS 智慧都会清静运营智慧都会清静运营 AG公司云 AG公司云
清静研究

八大实验室星云实验室格物实验室伏影实验室天机实验室天枢实验室天元实验室平行实验室威胁情报实验室研究领域研究领域研究报告研究报告 2024年度报告清静通告威胁通告
相助同伴

相助同伴相助同伴动态成为相助同伴申请成为相助同伴
手艺支持

服务支持服务热线盟管家服务维保服务产品支持产品清静产品手册常见问题产品生命周期通告软件升级北京AG公司公益基金会鲲鹏基金产品清静软件升级

返回列表

「威胁通告」关于深信服SSL VPN被境外APT组织使用并下发恶意代码

2020-04-07

一、威胁概述

4月6日，深信服官方宣布通告称，有境外APT组织通过不法手段控制部分深信服SSL VPN装备，并使用客户端升级误差下发恶意文件到客户端，AG公司科技对该事务亲近关注，并举行了整体的梳理和剖析，建议相关用户实时接纳防护和应急步伐。

AG公司(中国集团)·有限公司官网

本次误差为SSL VPN装备Windows客户端升级�？槭鹈橹せ频娜毕�，但使用该误差的条件为必需获取控制SSL VPN装备的权限。凭证深信服官方的剖析，此误差使用难度较高。官方预估，受影响的VPN装备数目有限。凭证AG公司科技清静服务团队的反响，虽然现在已被APT组织攻陷的装备并未几，但受影响的VPN版本在海内企业中应用十分普遍。

参考链接：

https://mp.weixin.qq.com/s/lKp_3kPNEycXqfCnVPxoDw

二、影响规模

现在官方已确认以下SSL VPN版本受影响

M6.3R1
M6.1

三、防护建议

3.1 产品防护

此次攻击运动相关IoC信息如下：

1、C&C：103.216.221.19

2、文件名：SangforUD.EXE，MD5：a32e1202257a2945bf0f878c58490af8,

3、文件名：SangforUD.EXE，MD5：967fcf185634def5177f74b0f703bdc0

4、文件名：SangforUD.EXE，MD5：c5d5cb99291fa4b2a68b5ea3ff9d9f9a

5、文件名：e58b8de07372b9913ca2fbd3b103bb8f.virus，MD5：e58b8de07372b9913ca2fbd3b103bb8f

6、文件名：m.exe，MD5：429be60f0e444f4d9ba1255e88093721

7、文件名：93e9383ae8ad2371d457fc4c1035157d887a84bbfe66fbbb3769c5637de59c75，MD5：18427cdcb5729a194954f0a6b5c0835a

8、文件名：SANARISOR.EXE，MD5：a93ece16bf430431f9cae0125701f527

3.1.1 TAC防护

针对此次攻击运动中的恶意样本，AG公司科技威胁剖析系统（TAC）已经具备了检测能力，请安排了TAC装备的用户实时关注相关告警，并设置好阻断战略。

恶意样本：967fcf185634def5177f74b0f703bdc0

AG公司(中国集团)·有限公司官网

恶意样本：a32e1202257a2945bf0f878c58490af8

AG公司(中国集团)·有限公司官网

恶意样本：c5d5cb99291fa4b2a68b5ea3ff9d9f9a

AG公司(中国集团)·有限公司官网

3.1.2 威胁情报中心（NTI）

AG公司科技威胁情报中心已支持对该事务的IoC检测，可以精准识别恶意IP及恶意文件，建议用户小心与恶意IP 103.216.221.19相关告警信息。阻止本通告宣布，该C&C服务器已关闭。用户可使用AG公司威胁情报中心宣布的IoC举行检测，接纳专杀工具对木马文件彻底查杀。

涉及到该事务的C&C服务器的威胁知识图谱如下：

AG公司(中国集团)·有限公司官网

AG公司(中国集团)·有限公司官网

涉及到该事务的几个典范恶意文件详情如下：

AG公司(中国集团)·有限公司官网

AG公司(中国集团)·有限公司官网

AG公司(中国集团)·有限公司官网

3.2 其他防护建议

1、检查VPN服务器日志，核查是否保存治理员账号异常登录、%USERPROFILE%\AppData\Roaming\Sangfor\SSL\SangforUPD.exe文件被替换等异常情形；

2、限制外网或非信托IP会见VPN服务器的4430控制台治理端口，阻断黑客针对VPN服务器治理后台举行的攻击。

3、增强账号�；�，使用高强度的密码，避免治理员密码被暴力猜解。

4、VPN服务器和客户终端装置清静软件，实时查杀恶意程序，开启实时�；し烙�。

5. 请关注深信服公司的解决计划，实时修复相关误差。

附录：样天职析

通过审查样本内嵌的数字署名信息，公司名称标记成“Sangfor Technologies Co.,Ltd”，但深信服公司现实英文名称为“Sangfor Technologies Inc.”，攻击者对署名举行伪造，通俗人难以区分。

AG公司(中国集团)·有限公司官网

建设目录%USERPROFILE%\AppData\Roaming\Sangfor\SSL\

AG公司(中国集团)·有限公司官网

目录建设完成后将自身拷贝到%USERPROFILE%\AppData\Roaming\Sangfor\SSL\SangforUPD.exe

AG公司(中国集团)·有限公司官网

遍历外地目录，获取所有文件名

AG公司(中国集团)·有限公司官网

链接目的服务器80端口，通过HTTP协议，以POST方法回传获取到的数据

AG公司(中国集团)·有限公司官网

使用com库建设系统妄想使命，抵达权限维持的目的

AG公司(中国集团)·有限公司官网

执行系统下令获取目的系统的相关信息，相关下令如下：

	1
2
3
4
5
6
7
8
9

	systeminfo.exe
ipconfig.exe /all
cmd.exe /c set
net.exe user
HOSTNAME.EXE
net.exe user /domain
net.exe group /domain
tasklist.exe /V
whoami.exe /all

	

执行系统下令相关截图如下：

AG公司(中国集团)·有限公司官网

AG公司(中国集团)·有限公司官网

AG公司(中国集团)·有限公司官网

AG公司(中国集团)·有限公司官网

AG公司(中国集团)·有限公司官网

AG公司(中国集团)·有限公司官网

AG公司(中国集团)·有限公司官网

AG公司(中国集团)·有限公司官网

建设循环获取来自服务端的数据

AG公司(中国集团)·有限公司官网

<<上一篇

「威胁通告」新型勒索软件WannaRen

>>下一篇

「误差通告」WebSphere Application Server 权限提升误差（CVE-2020-4362）

?

您的联系方法

购置热线

提交项目需求

接待加入AG公司科技，成为我们的相助同伴！

*请形貌您的需求

*最终客户名称
*项目名称
您感兴趣的产品
项目预算

您的联系方法

*姓名
*联系电话
*邮箱
*职务
*公司
*都会
*行业
*验证码
提交到邮箱

AG公司(中国集团)·有限公司官网

AG公司(中国集团)·有限公司官网

服务支持

智能客服

智能客服

购置/售后手艺问题

盟管家-售后服务系统

盟管家-售后服务系统

在线提单|智能问答|知识库

点击进入

支持热线

支持热线

400-818-6868

AG公司科技社区

AG公司科技社区

资料下载|在线问答|手艺交流

点击进入

信息清静

网站地图| 执法声明| 投资者关系

关于AG公司: 公司先容; 公司声誉; AG公司书橱; AG公司新闻; 事情时机

怎样购置: 提交项目需求; 请求回电; 购置热线

联系AG公司: 公司总部; 分支机构; 全球分支机构

清廉建设和举报: 举报说明; 举报奖励; 包管制度

快速链接: AG公司云; AG公司威胁情报中心NTI; TechWorld手艺嘉年华; 北京AG公司公益基金会; 手艺博客; 乐成案例

服务热线

400-818-6868

服务时间

7*24小时

? 2025 NSFOCUS AG公司科技 www.nsfocus.com All Rights Reserved . 京公网安备 11010802021605号京ICP备14004349号京ICP证110355号