安基網 首頁 資訊 安全報 查看內容

中國駐外機構正遭受攻擊!深信服VPN設備成境外國家級黑客突破口

2020-4-7 12:36| 投稿: xiaotiger |來自: 互聯網


免責聲明:本站系公益性非盈利IT技術普及網,本文由投稿者轉載自互聯網的公開文章,文末均已注明出處,其內容和圖片版權歸原網站或作者所有,文中所述不代表本站觀點,若有無意侵權或轉載不當之處請從網站右下角聯系我們處理,謝謝合作!

摘要: 近日,360安全大腦捕獲到一起劫持深信服VPN的安全服務從而下發惡意文件的APT攻擊活動,我們已第一時間將漏洞細節報告給廠商并得到確認。 通過進一步追蹤溯源發現,此次攻擊者為來自半島的APT組織Darkhotel(APT-C-06),今年3月開始已失陷的VPN服務器超200臺, 中國多處駐外機構遭到 ...

【來源:中國網科技】

近日,360安全大腦捕獲到一起劫持深信服VPN的安全服務從而下發惡意文件的APT攻擊活動,我們已第一時間將漏洞細節報告給廠商并得到確認。

通過進一步追蹤溯源發現,此次攻擊者為來自半島的APT組織Darkhotel(APT-C-06),今年3月開始已失陷的VPN服務器超200臺, 中國多處駐外機構遭到攻擊,4月初攻擊態勢又再向北京、上海相關政府機構蔓延。

更為緊要的是,根據監測分析發現,攻擊者已控制了大量相關單位的VPN服務器并控制了大量相關單位的計算機終端設備。

VPN(Virtual Private Network):一種利用公共網絡來支持許多分支機構或用戶之間的“安全通信橋梁“,遠程用戶或商業合作伙伴則可通過 VPN 隧道穿透企業網絡邊界,訪問企業內部資源,實現即使不在企業內部也能享有本地的訪問權限。

尤其在這場全球性疫情博弈之戰中,VPN在企業、政府機構的遠程辦公中起著不可或缺的重要作用,云辦公模式也正在經歷著繁榮攀升期。但隨著疫情的蔓延,不少安全專家也提出了對VPN安全性的擔憂,VPN一旦被黑客組織攻陷,眾多企事業單位的內部資產將暴露在公網之下,沒有任何安全保障,損失將不可估量。

而這一切的擔憂,比我們預想的來的都要早了一些。

全球進入緊急“戒嚴”勢態

遠程辦公成疫情之下工作方式首選

據媒體報道,截至北京時間4月6日10時00分,全球新冠肺炎確診病例已經超119萬例,達到1194698例,累計死亡66162例。

2020年一開年,新冠病毒就以肆虐全球之勢,給人類沉重一擊。然而,苦難與希望同在。重大威脅之際總是催生著新變革。就在全球進入緊急“戒嚴”之際,遠程辦公提前走進國家企事業單位辦公之中。

上述我們已經知道,遠程辦公能夠實現的核心是VPN。這也意味著,一旦VPN漏洞被黑客利用發動攻擊,使用VPN遠程辦公的相關單位無疑又陷入到另一場更加緊急、殘酷的威脅之中。

360安全大腦獨家捕獲半島攻擊組織Darkhotel

劫持深信服VPN設備對駐外機構及政府單位發動攻擊

近日,360安全大腦捕獲到半島APT組織Darkhotel(APT-C-06),劫持深信服VPN安全服務下發惡意文件,鎖定中國駐外機構、政府相關單位發動定向攻擊。截至目前,被攻擊單位有大量VPN用戶已經中招。

Darkhotel組織是誰?

Darkhotel中文名為“黑店”,它是一個有著東亞背景,長期針對企業高管、政府機構、國防工業、電子工業等重要機構實施網絡間諜攻擊活動的APT組織。其足跡遍布中國、朝鮮、日本、緬甸、俄羅斯等國家,相關攻擊行動最早可以追溯到2007年。

這并不是Darkhotel組織首次對我國發動攻擊。此前,360安全大腦就曾全球首家捕獲到半島APT組織Darkhotel在Win 7停服之際,利用“雙星”0day漏洞,瞄準我國商貿相關的政府機構發動攻擊。(相關閱讀:《再揭秘一場陰謀!半島APT“趁勢之!睂ξ覈藤Q相關政府機構發動攻擊!陰險狡詐!》)

這一次它又是如何發動攻擊的?

首先,360安全大腦在安全監控中發現了異常,相關單位的用戶在使用VPN客戶端時,默認觸發的升級過程被黑客劫持,升級程序被黑客組織替換并植入了后門程序,其完整攻擊過程如下:

其次,360安全大腦進行了進一步的追蹤,發現攻擊者已經攻破相關單位的VPN服務器,將VPN服務器上的正常程序替換偽造成了后門程序,攻擊者模仿正常程序對后門程序進行了簽名偽裝,普通人難以察覺。

然后,360安全大腦對攻擊活動進行了還原分析,發現此次攻擊活動是深信服VPN客戶端中深藏的一個漏洞被APT組織所利用。

該漏洞存在于VPN客戶端啟動連接服務器時默認觸發的一個升級行為,當用戶使用啟動VPN客戶端連接VPN服務器時,客戶端會從所連接的VPN服務器上固定位置的配置文件獲取升級信息,并下載一個名為SangforUD.exe的程序執行。

由于開發人員缺乏安全意識,整個升級過程存在安全漏洞,客戶端僅對更新程序做了簡單的版本對比,沒有做任何的安全檢查。導致黑客攻破VPN服務器后篡改升級配置文件并替換升級程序,利用此漏洞針對VPN用戶定向散播后門程序。

最后,360安全大腦定位分析了此次攻擊的后門程序,攻擊者精心設計了后門的控制方式,完全通過云端下發shellcode的形式執行代碼,整個攻擊過程十分復雜且隱蔽。

后門程序啟動后會先創建線程,訪問遠程的C&C服務器下載shellcode執行。

第一階段的shellcode會獲取終端的IP/MAC/系統版本/進程等軟硬件信息,上傳至遠程的C&C服務器。

第二階段shellcode該后門會開始安裝惡意DLL組件,該組件以劫持打印機服務的方式在系統中持久駐留。該駐留方式罕見的使用了老舊版本的系統白文件進行劫持攻擊,攻擊者通過修改注冊表,安裝老版本的存在dll劫持缺陷的打印機系統組件(TPWinPrn.dll),利用該缺陷加載核心的后門惡意組件(thinmon.dll)

核心后門組件thinmon.dll會解密云端下發的另外一個加密文件Sangfor_tmp_1.dat,以加載、線程啟動、注入進程3種方式中的一種啟動dat文件 ,最終由dat文件實現與服務器交互執行惡意操作。

Darkhotel(APT-C-06)組織緣何發起攻擊?又存多大隱患?

據了解,全球疫情爆發蔓延的當下,除中國外的世界各國政府似乎都早已處在水深火熱之中,原因有三:

一方面各國政府機構在面對突如其來的疫情,不知采取何種手段來緩解人員流動、經濟發展、交通限流等措施;

二是醫療物資的儲備及防疫物資的缺乏,正在讓疫情影響下的國家陷入癱瘓狀態;

三是存量病例及死亡人數的攀升,引發了民眾的恐慌情緒;

而這些不得不讓我們關聯到Darkhotel(APT-C-06)組織在疫情期間攻擊我國駐外機構及政府等相關機構的目的。

而據360安全大腦披露,攻擊者已完全控制上述相關單位的VPN服務器,并將VPN服務器上的關鍵升級程序替換為了后門程序, 由于VPN用戶一旦登錄成功,就會被完全授信。所以可以說,攻擊者已經控制了大量相關單位的計算機終端。

試想一下,在全球疫情蔓延的當下,駐外機構及企事業單位都紛紛采取“云辦公”模式,大量的員工都會通過VPN與總部建立聯系、傳輸數據,而此次VPN被攻擊,后果勢必不堪設想。

根據此線索,我們再向前推測一步

攻擊:中國多處駐外機構

今年新冠疫情全球爆發,在中國取得顯著救疫成效之后,各國又相繼淪陷,中國秉承著“人類命運共同體”的原則,相繼向周邊國家伸出援助之手,從醫療技術、設備、經驗、專家等角度進行全力支援。

從疫情角度:此次Darkhotel通過攻破VPN的手段,攻擊中國多處駐外機構,是否意在掌握劫持我國在救疫期間的先進醫療技術、救疫措施?是否通過駐外機構動態來進一步探究世界各國的疫情真實情況及數據?又是否通過攻擊中國駐外機構來掌握中國向世界各國輸送救疫物資的運輸軌跡、數量、設備?

從經濟角度:是否通過掌握政治、經濟貿易來往數據,間接關聯到各國與中國的核心利益紐帶,疫情之后的經濟緩解措施?從而進一步推動疫情之后本國經濟崛起及各國利益關系?

攻擊:北京、上海等相關政府單位

同樣在全球疫情之下,各大企事業單位紛紛采取云上辦公的模式,各項救疫措施、經濟舉措、復工手段、企業數據紛紛通過VPN下發或回傳指令,此次Darkhotel攻擊北京、上海等相關政府單位,是否又在掌握本國疫情數據、經濟復蘇手段呢?

360安全大腦監測發現,以下政府相關機構人員遭到攻擊:

VPN為何成為攻擊突破口?

在相關漏洞分析中發現,其中一臺深信服被攻擊的VPN服務器版本為M6.3 R1,該版本發行于2014年,由于版本過于老舊,存在大量安全漏洞。

同時該相關單位的運維開發人員的安全意識不強,為了工作便利,將所維護的客戶的敏感信息保存在工作頁上. 涉及2個泄露數據頁如下:http://yuan*.cn/*/*.htmlhttp://yuan*.cn/*/*.html

正是因為關鍵基礎設施的安全漏洞和相關人員的薄弱安全意識,才導致了VPN服務器被黑客攻破。

關于漏洞報告時間線:

2020年4月3日 360向深信服應急安全響應中心書面報告漏洞,同時與深信服溝通漏洞細節,官方確認漏洞編號(SRC-2020-281)進行跟進。

2020年4月6日 深信服官方正式發布安全公告,并啟動漏洞響應。

360安全大腦給出以下修復建議:

1.管理員參照VPN廠商的升級方案將VPN服務器系統升級到最新版本,修復已知的安全漏洞。

2.管理員限制外網或非信任IP訪問VPN服務器的控制臺管理端口,阻斷黑客針對VPN服務器管理后臺進行的攻擊入侵。

3.管理員加強賬號保護,使用高強度高安全級別的密碼,防止管理員密碼被暴力猜解。

4.VPN用戶避免使用VPN客戶端連接不受信任的VPN服務器。

5.VPN用戶使用360安全衛士對所有盤進行全面殺毒,開啟實時保護防御該漏洞的攻擊。

最后

于360安全大腦—APT威脅情報中心:

從2014年開始,360安全大腦通過整合海量安全大數據,實現了APT威脅情報的快速關聯溯源,獨家發現并追蹤了四十個APT組織及黑客團伙,獨立發現了多起境外APT組織使用“在野”0day漏洞針對我國境內目標發起的APT攻擊,大大拓寬了國內關于APT攻擊的研究視野和研究深度,填補了國內APT研究的空白。我們發現境外針對中國境內目標的攻擊最早可以追溯到2007年,至少影響了中國境內超過萬臺電腦,攻擊范圍遍布國內31個省級行政區。我們發現的APT攻擊和部分國外安全廠商機構發現的APT攻擊,都可以直接證明中國是APT攻擊中的主要受害國。



小編推薦:欲學習電腦技術、系統維護、網絡管理、編程開發和安全攻防等高端IT技術,請 點擊這里 注冊賬號,公開課頻道價值萬元IT培訓教程免費學,讓您少走彎路、事半功倍,好工作升職加薪!

本文出自:https://baijiahao.baidu.com/s?id=1663210104347721253

免責聲明:本站系公益性非盈利IT技術普及網,本文由投稿者轉載自互聯網的公開文章,文末均已注明出處,其內容和圖片版權歸原網站或作者所有,文中所述不代表本站觀點,若有無意侵權或轉載不當之處請從網站右下角聯系我們處理,謝謝合作!


鮮花

握手
1

雷人

路過

雞蛋

剛表態過的朋友 (1 人)

相關閱讀

最新評論

 最新
返回頂部
洗衣店赚钱联系澳洁 腾讯分分彩后二教学 股票涨跌是人为控制吗 海南4+1预测 上海11选5一定牛走势 2020幸运飞艇计划 群pk10计划免费微信群pk10收费精准计划 云南时时彩官网平台 p62今天中奖查询 陕西11选5爱彩乐 黑龙江福彩36选7历史开奖