深信服VPN後門程序應急處置建議和後門分析

2021-02-14 大連市信息網絡安全協會
大連惟遠科技發展有限公司針對此次深信服SSL VPN惡意攻擊事件,著重分析了其在系統內的特徵和文件,提出簡單易行的自查方法,使用深信服SSL VPN設備的企業和組織可以利用以下方法進行自查確定是否被入侵,完整的補丁措施請遵循深信服官方指南。

 

經核實發現:

此次事件是黑客利用非法控制的深信服SSL VPN設備,通過對偽裝成深信服VPN升級程序SangforUD.exe的後門,利用其客戶端升級校驗缺陷,將具備後門功能的升級文件SangforUD.exe推送到VPN客戶端。

 

該後門造成的危害:

1、 經實際測試,該後門程序可以感染Win7、Win10等作業系統。

2、 該後門具有收集信息的功能。

3、 該後門具有將收集信息上傳的功能。

4、 該後門屬於C2 類型的遠控後門。

 

應急處置建議:

1、 對深信服的VPN設備進行升級。

2、 建議在防火牆上限制VPN伺服器的4430後臺管理控制埠,阻斷黑客針對VPN伺服器管理後臺進行攻擊。

3、 通過對後門分析,發現該後門具有自動在C盤用戶目錄創建SangforUD.exe可執行程序的功能。建議搜索下是否存在SangforUD.exe 可執行程序。

4、 經實際測試有部分殺毒軟體,已經對該後門程序入庫。建議先更新殺毒軟體的特徵庫,再進行病毒查殺。

5、 如果殺毒軟體發現系統已經被植入後門,建議對其他伺服器、主機進行安全檢查和安全加固。

6、 不排除還有其他免殺版本的遠控。建議聘請有技術實力的網絡安全服務商做更深度的安全檢查。

 

後門程序分析過程

 

1、該後門程序會在C盤的用戶目錄,生成SanforUPD.exe 可執行程序。

 

2、提取SanforUPD.exe可執行程序的MD5和SHA1

MD5: C5D5CB99291FA4B2A68B5EA3FF9D9F9A

SHA1: A1B5D50FE87F9C69A0E4DA447F8D56155CE59E47

 

3、讀取SanforUPD.exe可執行程序的內存數據

我們讀取SanforUPD的內存數據,具體見截圖:

 

 Chinese (Simplified)China.936

 

發現SanforUPD.exe程序具備收集信息的功能。因此此後門還是具有相當的危險性。

 

個人介紹

邢昱

職稱:大連市信息網絡安全協會首席安全專家

歷任

網絡安全廠商攻防實驗室研究員、車聯網公司網絡安全部負責人、等級保護測評公司技術總監。

現任

大連惟遠科技發展有限公司技術總監

網絡安全重保工作

2008年北京奧運會網絡安全保衛工作、2015、2017、2019年大連達沃斯網絡安全保衛工作、2018年遼寧省護網、2019年國家護網、2019年大連護網。

公司介紹

大連惟遠科技發展有限公司是一家擁有:

先進的網絡安全攻防實驗室

完善的網絡安全服務

細緻的網絡安全管理規範

前瞻性的網絡安全架構設計

提供全面的網絡安全服務商

公司擁有專業的、資深的網絡安全專家、網絡安全工程師。

公司的網絡安全攻防實驗室:

擁有各種先進的網絡安全設備、網絡安全攻防演練平臺等。

相關焦點

  • 是遠程管理還是後門程序?
    Quasar(類星體)是一個使用C#開發的遠程管理工具(Remote Administration Tool),當然也有人稱呼它為後門程序這些軟體可以讓管理員遠程管理託管在IDC機房中的伺服器設備,而不必親自坐在那個常年18度恆溫、噪聲和輻射嚴重超標、完全不適合人類生存的機房當中。因此,當十多年前我首次開始使用灰鴿子的時候,心中就有一個巨大的疑問,那就是它也完全可以當作一個遠程管理工具來正向使用,而不必被稱為後門程序。時至今日,後門和RAT軟體的區別已經開始變得模糊。
  • 實戰分析菜刀及隱藏後門
    UINCODE方式編譯,支持多國語言輸入顯示一個用來監視和修改網絡發送和接收數據的程序,WinSock Expert可以用來幫助您調試網絡應用程式,分析網絡程序的通信協議(如分析OICQ的發送接收數據),並且在必要的時候能夠修改發送的數據UPX (the Ultimate Packer for eXecutables)是一款先進的可執行程序文件壓縮器,壓縮過的可執行文件體積縮小50%-70% ,這樣減少了磁碟佔用空間
  • 間諜組織Lazarus再現新動態,使用新型MacOS後門程序
    網絡安全近日,亞信安全截獲新型攻擊MacOS的後門程序,該後門程序被網絡間諜組織Lazarus使用,該組織曾經使用帶有宏病毒的Excel文檔,對韓國用戶發動攻擊。本次截獲的後門程序是通過Mac應用程式捆綁傳播,將正常的Flash Player與惡意文件捆綁在一起,在安裝正常Flash Player同時,後臺會悄悄執行後門程序,用戶很難察覺到異常。亞信安全將該後門程序命名為Backdoor.MacOS.NUKESPED.A。
  • 逆向分析Cobalt Strike安裝後門
    安裝後門的技術原理,跟蹤一下它是如何與伺服器進行連接,並安裝Beacon後門模塊的。 搭建測試環境 測試環境: 1.服務端 kali 用於Cobalt Strike服務端 2.攻擊機 win7 用於Cobalt Strike客戶端 3.測試機 win7 測試安裝Cobalt Strike的後門程序
  • 財政部將堅持"開前門"和"堵後門"並舉 防範地方債務風險
    點擊圖片進入下一頁財政部長肖捷(中國網 高聰攝)中國網財經3月7日訊 今日,十二屆全國人大五次會議新聞中心舉行記者會,財政部部長肖捷在回答地方債務相關問題時表示,為了防範地方政府的債務風險,財政部高度重視,已經建立了風險應急處置預案和分類處置指南等一系列制度
  • 後門程序:PC,我要悄悄蒙上你的眼睛
    正在閱讀:後門程序:PC,我要悄悄蒙上你的眼睛後門程序:PC,我要悄悄蒙上你的眼睛2007-12-29 15:38出處:其它網站作者:小魚>  Backdoor.Hupigon.aahh是最新截獲的後門程序,它將利用大多數瀏覽器存在的漏洞肆意攻擊用戶的計算機。
  • 多款軟體內置後門程序 可監視並肆意操控用戶電腦
    由於所述軟體通過官網和各下載站進行傳播和推廣,影響範圍較大,建議近期下載安裝過的用戶及時排查。火絨用戶無須擔心,火絨軟體最新版已對所述軟體中的後門程序進行攔截查殺。分析發現,該後門程序下發的雲控配置,除了統計用戶電腦中軟體安裝情況外,主要用來收集用戶瀏覽器瀏覽記錄,並回傳至後臺。
  • 騰訊電腦管家:「護眼小秘書」暗藏大心機 利用後門程序劫持用戶...
    然而,不法分子從中嗅到「商機」,藉助該類軟體後門程序乘虛而入,給用戶造成不必要的經濟損失和麻煩。近日,騰訊智慧安全御見威脅情報中心監測發現一款名為「護眼小秘書」的軟體攜帶後門程序,表面上看起來是一個可調整屏幕亮度、對比度的小工具,操作中也能夠「正常」卸載,但實際上「護眼小秘書」私自攜帶後門程序,在安裝過程中會釋放「秘眼」後門驅動,同時該軟體難以徹底清除,有如「狗皮膏藥」般賴在用戶電腦中,威脅用戶的信息安全。
  • 「護眼小秘書」暗藏後門程序 超3萬臺電腦受感染
    然而,不法分子從中嗅到「商機」,藉助該類軟體後門程序乘虛而入,給用戶造成不必要的經濟損失和麻煩。近日,騰訊智慧安全御見威脅情報中心監測發現一款名為「護眼小秘書」的軟體攜帶後門程序,表面上看起來是一個可調整屏幕亮度、對比度的小工具,操作中也能夠「正常」卸載,但實際上「護眼小秘書」私自攜帶後門程序,在安裝過程中會釋放「秘眼」後門驅動,同時該軟體難以徹底清除,有如「狗皮膏藥」般賴在用戶電腦中,威脅用戶的信息安全。
  • APT黑客組織鎖定macOS用戶植入後門
    今年黑客鎖定macOS計算機發動攻擊,且難以被偵測出來的情況,已有前例,像是有假冒Flash Player安裝程序的MacOffers木馬程序,不僅能躲過蘋果App Store應用程式市場的公證機制,就連許多的殺毒軟體都無法分辨。
  • 應急系列之㈠《Linux安全應急排查常用命令》
    ,素材全部來自實踐,涵蓋Linux和Windows系統。內容主要包括應急預案類文檔、操作指引類文檔、事件分析類文檔,如《Webshell後門處置指引》、《挖礦後門處置指引》、《Webshell後門應急預案》、《網頁篡改應急預案》、《釣魚網站應急預案》。
  • back door,可以是後門,也可以是「後門」
    back door 字面意思就是這麼簡單「後門」,它可以指實實在在的後面的門,也可以是我們漢語中描述的「走關係的」後門,是一個非常好理解的習語,可以意為「走後門,走關係」,寓意:something done採取間接的或非正式的方式來完成某事to be dishonest in order to do something which is either of meaning or value為了做有意義或有價值的事情而不誠實也可以用 back-door,意為「後門的
  • 迪普科技:慧眼識漏洞之【後門漏洞】
    後門持久又隱蔽,繞過認證和加密。  執行代碼傳文件,注入程序來攻擊。  漏洞補丁常升級,可疑文件不接收。  實時關注新動態,慧眼快速來排查。  後門  後門是一種繞過認證或系統加密來獲取系統訪問權的方法。
  • vim+py文件構造linux後門
    linux 後門有很多,像bash後門,openssh後門等等,今天,我將帶大家探討一下python後門。python後門,其實就是用python編寫的一個簡單的socket伺服器端。這個一個簡單的python後門就實現了,但實際中,有很多伺服器是沒有安裝python應用的,那在沒有python應用的伺服器下就不能使用了麼?答案是可以使用,現如今的vim編輯器為了更好的支持python語言,默認是安裝了python擴展,通過vim的python擴展,也可以去啟動一個python程序。
  • 我市演練網絡安全事件應急處置
    我市演練網絡安全事件應急處置 2020-12-11 12:37 來源:澎湃新聞·澎湃號·政務
  • 「開前門」「堵後門」 中國雙管齊下解決地方債問題
    會議強調,各地要落實屬地責任,堵住「後門」,堅決遏制違法違規舉債。堅持分類指導,繼續整改違法擔保,糾正政府和社會資本合作、政府投資基金、政府購買服務中的不規範行為。要求開好「前門」,支持地方政府合法合規舉債融資,加大對易地扶貧搬遷、深度貧困地區基礎設施建設等的支持。  不到一個月的時間裡,地方政府債務問題接連被中央提及。
  • 【小安講堂】黑客入侵應急分析手工排查(完整版·下卷)
    1 事件分類2 排查思路3 分析排查3.1 Linux系列分析排查3.1.1 文件分析3.1.2 進程命令3.1.3 系統信息3.1.4 後門排查3.1.5 日誌分析3.1.6 相關處置3.2 Windows系列分析排查3.2.1 文件分析
  • 謹防「網頁後門」,淺談Webshell入侵網站的原理和預防措施
    是以asp、php、jsp或者cgi等網頁文件形式存在的一種命令執行環境,也可以將其稱作為一種網頁後門。「後門」本意是指一座建築背面開設的門,通常比較隱蔽,為進出建築的人提供方便和隱蔽。而WebShell就相當於開了這個「後門」,那就給了入侵者一個從「後門」進入的機會,就很容易造成重要東西的損失,因此這個「後門」是很重要的。
  • APT41使用新的Speculoos後門程序在全球範圍內進行攻擊
    據認為,此攻擊活動是在1月20日至3月11日期間進行的,專門通過利用最近披露的漏洞來針對Citrix,Cisco和Zoho網絡設備。基於Unit 42可用的WildFire和AutoFocus數據,我們能夠獲得針對Citrix設備的有效負載樣本,這些樣本是編譯為可在FreeBSD上運行的可執行文件。
  • 從後門上車遭拒 老年人乘公交車是否應開後門?
    青島新聞網10月31日訊(記者 丁淑華)「師傅,我打上卡從後門上吧」,乘坐公交上下班的市民可能會遇到這種情況,公交車前門擠滿了人,只好打卡後從後門上車,或從後門上車後將公交卡傳到前面打卡。10月30日,有網友在青青島社區發布了一段視頻,視頻中乘客就因為「是否從後門上車」這一問題指責當班公交駕駛員。老年乘客上車是否應該開後門?視頻拍攝者劉女士介紹,10月30日晚上7點左右,363路公交車行使到向陽路夏莊路站,兩位老年乘客因駕駛員未開後門讓他們從後門上車,大聲指責駕駛員。