【威胁通告】关于深信服SSL VPN被境外APT组织利用下发恶意代码的通告

此次攻击活动相关IoC信息如下：

1、C&C：103.216.221.19

2、文件名：SangforUD.EXE，MD5：a32e1202257a2945bf0f878c58490af8,

3、文件名：SangforUD.EXE，MD5：967fcf185634def5177f74b0f703bdc0

4、文件名：SangforUD.EXE，MD5：c5d5cb99291fa4b2a68b5ea3ff9d9f9a

5、文件名：e58b8de07372b9913ca2fbd3b103bb8f.virus，

MD5：e58b8de07372b9913ca2fbd3b103bb8f

6、文件名：m.exe，MD5：429be60f0e444f4d9ba1255e88093721

7、文件名：93e9383ae8ad2371d457fc4c1035157d887a84bbfe66fbbb3769c5637de59c75，

MD5：18427cdcb5729a194954f0a6b5c0835a

8、文件名：SANARISOR.EXE，MD5：a93ece16bf430431f9cae0125701f527

3.1.1 TAC防护

针对此次攻击活动中的恶意样本，绿盟科技威胁分析系统（TAC）已经具备了检测能力，请部署了TAC设备的用户及时关注相关告警，并配置好阻断策略。

恶意样本：967fcf185634def5177f74b0f703bdc0

恶意样本：a32e1202257a2945bf0f878c58490af8

恶意样本：c5d5cb99291fa4b2a68b5ea3ff9d9f9a

3.1.2 威胁情报中心（NTI）

绿盟科技威胁情报中心已支持对该事件的IoC检测，可以精准识别恶意IP及恶意文件，建议用户警惕与恶意IP 103.216.221.19相关告警信息。截止本通告发布，该C&C服务器已关闭。用户可使用绿盟威胁情报中心发布的IoC进行检测，采用专杀工具对木马文件彻底查杀。

涉及到该事件的C&C服务器的威胁知识图谱如下：

3.2  其他防护建议

1、检查VPN服务器日志，核查是否存在管理员账号异常登录、%USERPROFILE%AppDataRoamingSangforSSLSangforUPD.exe文件被替换等异常情况；

2、限制外网或非信任IP访问VPN服务器的4430控制台管理端口，阻断黑客针对VPN服务器管理后台进行的攻击。

3、加强账号保护，使用高强度的密码，防止管理员密码被暴力猜解。

4、VPN服务器和客户终端安装安全软件，及时查杀恶意程序，开启实时保护防御。

5. 请关注深信服公司的解决方案，及时修复相关漏洞。

通过查看样内嵌的数字签名信息，公司名称标记成“Sangfor Technologies Co.,Ltd”，但深信服公司实际英文名称为“Sangfor Technologies Inc.”，攻击者对签名进行伪造，普通人难以辨别。

创建目录%USERPROFILE%AppDataRoamingSangforSSL

目录创建完成后将自身拷贝到%USERPROFILE%AppDataRoamingSangforSSLSangforUPD.exe

遍历本地目录，获取所有文件名

链接目标服务器80端口，通过HTTP协议，以POST方式回传获取到的数据

利用com库创建系统计划任务，达到权限维持的目的

执行系统命令获取目标系统的相关信息，相关命令如下：

执行系统命令相关截图如下：

建立循环获取来自服务端的数据