|
|
|
|
|
|
m*****n 发帖数: 3575 | 1 中国驻外机构正遭受攻击!深信服VPN设备成境外国家级黑客突破口
近日,360安全大脑捕获到一起劫持深信服VPN的安全服务从而下发恶意文件的APT攻击
活动,我们已第一时间将漏洞细节报告给厂商并得到确认。
通过进一步追踪溯源发现,此次攻击者为来自半岛的APT组织Darkhotel(APT-C-06),
今年3月开始已失陷的VPN服务器超200台, 中国多处驻外机构遭到攻击,4月初攻击态势
又再向北京、上海相关政府机构蔓延。
更为紧要的是,根据监测分析发现,攻击者已控制了大量相关单位的VPN服务器并控制
了大量相关单位的计算机终端设备。
VPN(Virtual Private Network):一种利用公共网络来支持许多分支机构或用户之间
的“安全通信桥梁“,远程用户或商业合作伙伴则可通过 VPN 隧道穿透企业网络边界
,访问企业内部资源,实现即使不在企业内部也能享有本地的访问权限。
尤其在这场全球性疫情博弈之战中,VPN在企业、政府机构的远程办公中起着不可或缺
的重要作用,云办公模式也正在经历着繁荣攀升期。但随着疫情的蔓延,不少安全专家
也提出了对VPN安全性的担忧,VPN一旦被黑客组织攻陷,众多企事业单位的内部资产将
暴露在公网之下,没有任何安全保障,损失将不可估量。
而这一切的担忧,比我们预想的来的都要早了一些。
全球进入紧急“戒严”势态 远程办公成疫情之下工作方式首选
据媒体报道,截至北京时间4月6日10时00分,全球新冠肺炎确诊病例已经超119万例,
达到1194698例,累计死亡66162例。
2020年一开年,新冠病毒就以肆虐全球之势,给人类沉重一击。然而,苦难与希望同在
。重大威胁之际总是催生着新变革。就在全球进入紧急“戒严”之际,远程办公提前走
进国家企事业单位办公之中。
上述我们已经知道,远程办公能够实现的核心是VPN。这也意味着,一旦VPN漏洞被黑客
利用发动攻击,使用VPN远程办公的相关单位无疑又陷入到另一场更加紧急、残酷的威
胁之中。
360安全大脑独家捕获半岛攻击组织Darkhotel 劫持深信服VPN设备对驻外机构及政府单
位发动攻击
近日,360安全大脑捕获到半岛APT组织Darkhotel(APT-C-06),劫持深信服VPN安全服
务下发恶意文件,锁定中国驻外机构、政府相关单位发动定向攻击。截至目前,被攻击
单位有大量VPN用户已经中招。
Darkhotel组织是谁?
Darkhotel中文名为“黑店”,它是一个有着东亚背景,长期针对企业高管、政府机构
、国防工业、电子工业等重要机构实施网络间谍攻击活动的APT组织。其足迹遍布中国
、朝鲜、日本、缅甸、俄罗斯等国家,相关攻击行动最早可以追溯到2007年。
这并不是Darkhotel组织首次对我国发动攻击。此前,360安全大脑就曾全球首家捕获到
半岛APT组织Darkhotel在Win 7停服之际,利用“双星”0day漏洞,瞄准我国商贸相关
的政府机构发动攻击。(相关阅读:《再揭秘一场阴谋!半岛APT“趁势之危”对我国
商贸相关政府机构发动攻击!阴险狡诈!》)
这一次它又是如何发动攻击的?
首先,360安全大脑在安全监控中发现了异常,相关单位的用户在使用VPN客户端时,默
认触发的升级过程被黑客劫持,升级程序被黑客组织替换并植入了后门程序,其完整攻
击过程如下:
其次,360安全大脑进行了进一步的追踪,发现攻击者已经攻破相关单位的VPN服务器,
将VPN服务器上的正常程序替换伪造成了后门程序,攻击者模仿正常程序对后门程序进
行了签名伪装,普通人难以察觉。
图1 木马(左)和正常升级程序(右)签名对比
然后,360安全大脑对攻击活动进行了还原分析,发现此次攻击活动是深信服VPN客户端
中深藏的一个漏洞被APT组织所利用。
该漏洞存在于VPN客户端启动连接服务器时默认触发的一个升级行为,当用户使用启动
VPN客户端连接VPN服务器时,客户端会从所连接的VPN服务器上固定位置的配置文件获
取升级信息,并下载一个名为SangforUD.exe的程序执行。
由于开发人员缺乏安全意识,整个升级过程存在安全漏洞,客户端仅对更新程序做了简
单的版本对比,没有做任何的安全检查。导致黑客攻破VPN服务器后篡改升级配置文件
并替换升级程序,利用此漏洞针对VPN用户定向散播后门程序。
图 2 Sangfor VPN客户端中的漏洞代码
最后,360安全大脑定位分析了此次攻击的后门程序,攻击者精心设计了后门的控制方
式,完全通过云端下发shellcode的形式执行代码,整个攻击过程十分复杂且隐蔽。
图 3 后门程序攻击流程
后门程序启动后会先创建线程,访问远程的C&C服务器下载shellcode执行。
图 4 shellcode执行还原伪代码
第一阶段的shellcode会获取终端的IP/MAC/系统版本/进程等软硬件信息,上传至远程
的C&C服务器。
图5 第一阶段shellcode还原分析
第二阶段shellcode该后门会开始安装恶意DLL组件,该组件以劫持打印机服务的方式在
系统中持久驻留。该驻留方式罕见的使用了老旧版本的系统白文件进行劫持攻击,攻击
者通过修改注册表,安装老版本的存在dll劫持缺陷的打印机系统组件(TPWinPrn.dll
),利用该缺陷加载核心的后门恶意组件(thinmon.dll)
图6 恶意DLL组件还原分析
核心后门组件thinmon.dll会解密云端下发的另外一个加密文件Sangfor_tmp_1.dat,以
加载、线程启动、注入进程3种方式中的一种启动dat文件 ,最终由dat文件实现与服务
器交互执行恶意操作。
图7 恶意DLL组件还原分析2
Darkhotel(APT-C-06)组织缘何发起攻击?又存多大隐患?
据了解,全球疫情爆发蔓延的当下,除中国外的世界各国政府似乎都早已处在水深火热
之中,原因有三:
一方面各国政府机构在面对突如其来的疫情,不知采取何种手段来缓解人员流动、经济
发展、交通限流等措施;
二是医疗物资的储备及防疫物资的缺乏,正在让疫情影响下的国家陷入瘫痪状态;
三是存量病例及死亡人数的攀升,引发了民众的恐慌情绪;
而这些不得不让我们关联到Darkhotel(APT-C-06)组织在疫情期间攻击我国驻外机构
及政府等相关机构的目的。
而据360安全大脑披露,攻击者已完全控制上述相关单位的VPN服务器,并将VPN服务器
上的关键升级程序替换为了后门程序, 由于VPN用户一旦登录成功,就会被完全授信。
所以可以说,攻击者已经控制了大量相关单位的计算机终端。
试想一下,在全球疫情蔓延的当下,驻外机构及企事业单位都纷纷采取“云办公”模式
,大量的员工都会通过VPN与总部建立联系、传输数据,而此次VPN被攻击,后果势必不
堪设想。
根据此线索,我们再向前推测一步
攻击:中国多处驻外机构
今年新冠疫情全球爆发,在中国取得显著救疫成效之后,各国又相继沦陷,中国秉承着
“人类命运共同体”的原则,相继向周边国家伸出援助之手,从医疗技术、设备、经验
、专家等角度进行全力支援。
从疫情角度:此次Darkhotel通过攻破VPN的手段,攻击中国多处驻外机构,是否意在掌
握劫持我国在救疫期间的先进医疗技术、救疫措施?是否通过驻外机构动态来进一步探
究世界各国的疫情真实情况及数据?又是否通过攻击中国驻外机构来掌握中国向世界各
国输送救疫物资的运输轨迹、数量、设备?
从经济角度:是否通过掌握政治、经济贸易来往数据,间接关联到各国与中国的核心利
益纽带,疫情之后的经济缓解措施?从而进一步推动疫情之后本国经济崛起及各国利益
关系?
攻击:北京、上海等相关政府单位
同样在全球疫情之下,各大企事业单位纷纷采取云上办公的模式,各项救疫措施、经济
举措、复工手段、企业数据纷纷通过VPN下发或回传指令,此次Darkhotel攻击北京、上
海等相关政府单位,是否又在掌握本国疫情数据、经济复苏手段呢?
360安全大脑监测发现,以下政府相关机构人员遭到攻击:
https://www.anquanke.com/post/id/202526 |
|
|
|
|
|