欧美另类视频一区-在线观看一区二区精品-HD免费看片,性色av一区二区咪爱,天堂av中文字幕,亚洲精品wwww

境外APT組織利用深信服VPN漏洞入侵事件通告

作者:安數(shù)網(wǎng)絡(luò) 發(fā)布時間:2020-04-08 16:53:13 瀏覽次數(shù):2094

威脅簡報

日前,境外APT組織Darkhotel(APT-C-06)利用深信服VPN升級漏洞,對國內(nèi)政府機構(gòu)、重要企業(yè)實施網(wǎng)絡(luò)攻擊。攻擊者利用深信服M6.3R1和M6.1版本的VPN服務(wù)器漏洞或弱口令實現(xiàn)入侵劫持,并修改控制服務(wù)器配置下發(fā)偽造升級程序SangforUPD.exe(攜帶木馬),進而獲取受害主機的控制權(quán),收集重要科研、政策情報,或盜取、破壞重要數(shù)據(jù)資產(chǎn)和基礎(chǔ)設(shè)施。目前國內(nèi)受影響節(jié)點數(shù)量超過200,主要分布在北京、上海等重點經(jīng)濟區(qū)域。

深信服已經(jīng)確認該漏洞,并發(fā)布相關(guān)補丁程序。

威脅樣本

本次涉及的遠控木馬之一SangforUPD.exe安裝后能夠形成對受害者持久化的控制,通過訪問C2獲取shellcode和下一階段載荷進行進一步操作。以下是檢測該樣本的主機特征和網(wǎng)絡(luò)特征。

偽裝深信服VPN客戶端程序,圖標與真實圖標相同。

運行后拷貝自身到appdata\roaming\sangfor\ssl\SangforUPD.exe

木馬程序加載后,使用HTTP協(xié)議連接C2:103.216.221.19時請求中攜帶特定字符串“------974767299852498929531610575”

影響范圍:

1. 據(jù)披露信息顯示上百臺VPN服務(wù)器遭到劫持;

2. 基于樣本的創(chuàng)建時間和情報庫關(guān)聯(lián)時間判斷,攻擊活動開始于數(shù)月前;

3. 由于目前屬于抗疫時期,遠程辦公用戶頗多。受害者個人計算機上的重要文件和上網(wǎng)信息可能已遭泄露。

安全建議:

1. 第一時間自檢VPN服務(wù)器是否存在漏洞并下載官方發(fā)布補丁,更新最新深信服VPN軟件;

2. 利用殺毒引擎掃描主機目錄“appdata\roaming\sangfor\ssl”、VPN服務(wù)器目錄“/sf/htdocsback/com/win/”,檢測是否被植入木馬;

3. 檢查包含字符串“Sangfor”的主機啟動項是否正常;

4.網(wǎng)絡(luò)管理員限制VPN服務(wù)器4330端口連接,僅允許少量授信用戶訪問;

5. 增強密碼防護意識,個人和使用強密碼;

6. 針對企業(yè)內(nèi)網(wǎng)加強全流量分析,確認是否有其他木馬及異常行為;

相關(guān)IOC

103.216.221.19

a32e1202257a2945bf0f878c58490af8

c5d5cb99291fa4b2a68b5ea3ff9d9f9a

967fcf185634def5177f74b0f703bdc0


來源:水滴安全實驗室

及時掌握網(wǎng)絡(luò)安全態(tài)勢 盡在傻蛋網(wǎng)絡(luò)安全監(jiān)測系統(tǒng)

【網(wǎng)絡(luò)安全監(jiān)管部門】免費試用

本文來源:

如涉及侵權(quán),請及時與我們聯(lián)系,我們會在第一時間刪除或處理侵權(quán)內(nèi)容。
電話:400-869-9193 負責人:張明