WEB安全 安全运维
Security Recommendations

APT组织Darkhotel利用深信服SSL VPN漏洞进行攻击的安全处置建议

APT组织Darkhotel利用深信服SSL VPN漏洞进行攻击的安全处置建议

发布时间:2020-04-06 15:19 来源: 浏览人数:1047 次


深信服SSL VPN 安全处置建议

2020.04.06

一、事件描述

近期,中央网信办监测发现境外APT组织DarkhotelAPT-C-06)利用深信服VPN产品漏洞,劫持控制我国境内较多深信服VPN服务器,并向VPN客户端终端设备下发伪装成升级文件的恶意程序,对我政府部门实施APT攻击活动。据报告,目前已发现该APT组织已控制相关单位共数百台VPN服务器,并进而控制了大量的VPN客户端终端设备。

 

二、安全建议

 1、排查是否已被入侵

服务端排查

1紧急排查深信服SSL VPN服务器“/sf/htdocsback/com/win/”路径下的“SangforUD.exe”文件并上传微步云沙箱或腾讯哈勃实验室进行查杀分析,或者右键查看文件属性查看数字签名,若数字签名无效则已被篡改。


 


(图片来自国际安全智库)

客户端排查

1排查“%AppData% \Sangfor\SSL”目录是否存在“.SangforUD.sum”“SangforUPD.exe”,如存在则已被安装木马。

2排查任务计划是否存在“Sangfor update”自启动项,如存在则已被安装木马。(使用taskschd.msc查看任务计划)

 

2VPN安全防护建议

1)在网络上出口处将103.216.221.19加入黑名单,防止黑客进一步窃取敏感数据。

2)关闭VPN服务器的4430管理后台控制端口的公网访问,限制内网访问该端口的源地址,阻断黑客针对VPN服务器管理后台进行的攻击。

3建议对VPN服务器管理后台登陆账号使用高复杂度密码,防止黑客利用爆破等手段获取VPN服务器的控制权限。

4)根据深信服厂商发布信息,安全更新补丁将于4624时之前完成,请及时更新

5)个人用户应确保安全软件的病毒库正常更新,并开启杀毒功能。

(6)检查并更新以下两个安全补丁(补丁文件来自深信服官方),并对VPN系统进行整体加固。

补丁1:/kindeditor/attached/file/20200406/20200406154205_1253.zip

补丁2:/kindeditor/attached/file/20200406/20200406154444_2189.zip

上海高嘉信息科技有限公司 Shanghai Gaojia Information Technology Co.,Ltd 版权所有 沪ICP备10040193号

地址:上海市虹梅路1905号远中科研楼206室

全国服务热线
021 55133362