深信服SSL VPN 安全处置建议

2020.04.06

一、事件描述

近期，中央网信办监测发现境外APT组织Darkhotel（APT-C-06）利用深信服VPN产品漏洞，劫持控制我国境内较多深信服VPN服务器，并向VPN客户端终端设备下发伪装成升级文件的恶意程序，对我政府部门实施APT攻击活动。据报告，目前已发现该APT组织已控制相关单位共数百台VPN服务器，并进而控制了大量的VPN客户端终端设备。

二、安全建议

 1、排查是否已被入侵

l 服务端排查

（1）紧急排查深信服SSL VPN服务器“/sf/htdocsback/com/win/”路径下的“SangforUD.exe”文件并上传微步云沙箱或腾讯哈勃实验室进行查杀分析，或者右键查看文件属性查看数字签名，若数字签名无效则已被篡改。

（图片来自国际安全智库）

l 客户端排查

（1）排查“%AppData% \Sangfor\SSL”目录是否存在“.SangforUD.sum”、“SangforUPD.exe”，如存在则已被安装木马。

（2）排查任务计划是否存在“Sangfor update”自启动项，如存在则已被安装木马。（使用taskschd.msc查看任务计划）

2、VPN安全防护建议

（1）在网络上出口处将103.216.221.19加入黑名单，防止黑客进一步窃取敏感数据。

（2）关闭VPN服务器的4430管理后台控制端口的公网访问，限制内网访问该端口的源地址，阻断黑客针对VPN服务器管理后台进行的攻击。

（3）建议对VPN服务器管理后台登陆账号使用高复杂度密码，防止黑客利用爆破等手段获取VPN服务器的控制权限。

（4）根据深信服厂商发布信息，安全更新补丁将于4月6日24时之前完成，请及时更新。

（5）个人用户应确保安全软件的病毒库正常更新，并开启杀毒功能。

（6）检查并更新以下两个安全补丁（补丁文件来自深信服官方），并对VPN系统进行整体加固。

补丁1：/kindeditor/attached/file/20200406/20200406154205_1253.zip

补丁2：/kindeditor/attached/file/20200406/20200406154444_2189.zip