中国驻外机构正遭受攻击！深信服VPN设备成境外国家级黑客突破口

本篇文章4102字，读完约10分钟

重大威胁总会带来新的变化，新的变化中隐藏着风险和隐患！

最近，360安全大脑(360 Security Brain)遭遇了一次巧妙的攻击，它劫持了深信不疑的虚拟专用网(vpn)安全服务，并分发恶意文件。我们已经在第一时间向供应商报告了漏洞的详细信息以供确认。

通过进一步追查，发现袭击者是来自半岛的apt组织darkhotel(apt-c-06)。自今年3月以来，已有200多台虚拟专用网服务器丢失，许多中国海外机构遭到攻击。4月初，袭击情况再次蔓延到北京和上海的相关政府机构。

更重要的是，根据监控和分析，攻击者已经控制了大量的vpn服务器和相关单位的计算机终端设备。

Vpn(虚拟专用网):一种“安全通信桥”，使用公共网络来支持许多分支机构或用户。远程用户或业务伙伴可以通过vpn隧道穿透企业网络边界，访问企业内部资源，因此即使他们不在企业内部，也可以享有本地访问权限。

特别是在这个全球流行的游戏中，vpn在企业和政府机构的远程办公中发挥着不可或缺的作用，而云办公模式也正在经历一个繁荣时期。然而，随着疫情的蔓延，许多安全专家对vpn的安全性提出了担忧。一旦vpn被黑客组织攻破，许多企事业单位的内部资产将暴露在公共网络之下，没有任何安全保障，损失将是不可估量的。

所有这些担忧来得比我们预期的要早。

世界已经进入紧急“戒严”状态

远程工作成为疫情下工作模式的首选

据媒体报道，截至北京时间4月6日10时，全球确诊的COVID-19肺炎病例数已超过119万，达到1194698例，累计死亡66162例。

2020年初，新型冠状病毒将在全球范围内肆虐，给人类带来沉重打击。然而，苦难伴随着希望。重大威胁总是会带来新的变化。正当世界进入紧急“戒严”时，远程办公提前进入了国家企事业单位的办公室。

众所周知，远程办公的核心是虚拟专用网。这也意味着一旦虚拟专用网漏洞被黑客利用发起攻击，使用虚拟专用网远程办公的相关单位无疑将陷入另一个更加紧迫和残酷的威胁。

360安全大脑独家捕捉半岛攻击组织黑暗酒店

劫持深深地说服了vpn设备对外国机构和政府单位发动攻击

最近，360安全大脑(360 Security Brain)占领了半岛上的一个apt组织——黑暗酒店(apt-C-06)，劫持了由vpn安全服务部门发布的恶意文件，并锁定了中国海外机构和相关政府部门，发起了有针对性的攻击。到目前为止，在被攻击的单位中已经招募了大量的vpn用户。

谁是黑暗旅馆组织？

黑暗旅馆在中国被称为“黑店”。它是一个具有东亚背景的组织，长期以来对企业高管、政府机构、国防工业、电子工业和其他重要机构进行网络间谍攻击。它的足迹遍布中国、韩国、日本、缅甸、俄罗斯等国家，相关的攻击最早可以追溯到2007年。

这不是黑酒店第一次对中国发动攻击。此前，360安全大脑是世界上第一个占领朝鲜半岛上的一个组织“黑暗酒店”的组织，它利用“双星”0天的漏洞，在中国与商业和贸易有关的政府机构在冬季7号停止服务时发动攻击。(相关阅读:“揭露另一个阴谋！半岛上的Apt对中国的商业和贸易相关的政府机构发起了攻击！邪恶而狡猾！】

这次它是怎么发动攻击的？

首先，360安全大脑在安全监控中发现了异常。当相关单位的用户使用vpn客户端时，默认触发的升级过程被黑客劫持，升级程序被黑客取代并植入后门程序。完整的攻击过程如下:

其次，360安全大脑做了进一步的跟踪，发现攻击者已经攻破了相关单位的vpn服务器，并替换了vpn服务器上的正常程序，将其伪造成一个后门程序。攻击者模仿正常程序，并签署和伪装后门程序，这是普通人难以察觉的。

特洛伊木马(左)和普通升级程序(右)之间的签名比较

随后，360安全大脑对攻击行为进行了恢复和分析，发现攻击行为深信apt组织利用了vpn客户端中的一个深洞。

该漏洞存在于当vpn客户端开始连接到服务器时默认触发的升级行为中。当用户使用启动vpn客户端连接到vpn服务器时，客户端将从连接的vpn服务器上固定位置的配置文件中获取升级信息，并下载一个名为sangforud.exe的程序来执行。

由于开发人员缺乏安全意识，整个升级过程中存在安全漏洞。客户端只对更新程序进行简单的版本比较，不做任何安全检查。黑客在突破虚拟专用网服务器后篡改升级配置文件并替换升级程序，并利用此漏洞为虚拟专用网用户定向传播后门程序。

sangfor vpn客户端中的漏洞代码

最后，360安全大脑定位并分析了这次攻击的后门程序。攻击者精心设计了后门控制模式，并完全通过云以外壳代码的形式执行代码。整个攻击过程非常复杂和隐蔽。

后门攻击过程

后门程序启动后，它将首先创建一个线程，并访问远程c/c服务器来下载外壳代码以供执行。

外壳代码执行恢复伪代码

在第一阶段，shellcode将获取终端的ip/mac/系统版本/进程和其他软硬件信息，并将其上传到远程c c服务器。

第一阶段外壳代码简化分析

在第二阶段，后门将开始安装恶意的dll组件，这些组件将以劫持打印机服务的方式在系统中持续存在。这种驻留方法很少使用旧版本的系统白色文件进行劫持攻击。攻击者通过修改注册表安装带有dll劫持缺陷的旧版本的打印机系统组件(tpwinprn.dll)，并使用该缺陷加载核心后门恶意组件(thinmon.dll)

恶意dll组件的恢复分析

核心后门组件Thinmon.dll将解密另一个由云发布的加密文件sangfor_tmp_1.dat，并以三种方式之一启动dat文件:加载、线程启动和注入过程。最后，dat文件将与服务器交互以执行恶意操作。

恶意动态链接库组件恢复分析2

为什么黑暗酒店(apt-c-06)会袭击？又有多少隐患？

据了解，在全球疫情蔓延之际，除中国之外的世界各国政府似乎都陷入了困境，原因有三:

一方面，面对突发疫情，各国政府机构不知道采取什么措施来缓解人员流动、经济发展、交通限制等措施；

第二，医疗用品和防疫用品的短缺使受疫情影响的国家陷入瘫痪。

第三，库存病例和死亡人数的上升引起了人们的恐慌；

所有这些都使我们联想到黑暗旅馆(apt-c-06)组织在流行病期间攻击中国外国机构和政府及其他相关机构的目的。

根据360安全大脑的披露，攻击者已经完全控制了上述相关单位的vpn服务器，并且用后门程序替换了vpn服务器上的关键升级程序，因为一旦vpn用户成功登录，他将被授予全部信用。因此，可以说，攻击者已经控制了大量相关单位的计算机终端。

想象一下，随着全球疫情的蔓延，海外机构、企事业单位纷纷采用“云办公”模式，大量员工将通过vpn与总部建立联系并传输数据。但是，这个虚拟专用网受到攻击，后果将不堪设想。

根据这条线索，让我们向前迈进一步

攻击:中国的许多外国机构

今年，COVID-19流行病在世界各地爆发。中国在拯救疫情方面取得显著成绩后，其他国家相继倒下。中国坚持“人类命运共同体”的原则，向周边国家伸出了援助之手，从医疗技术、设备、经验和专家等方面给予了全力支持。

从疫情的角度来看:这次，达科酒店以破坏vpn的方式攻击了很多在中国的海外机构，是否意在掌握先进的医疗技术和措施来拯救中国的疫情？是否有可能通过海外机构的动态进一步探索世界各国的真实情况和疫情数据？你知道通过攻击中国驻外机构将中国的救灾物资运送到其他国家的路线、数量和设备吗？

从经济学的角度来看:通过掌握政治、经济和贸易的数据，是否与国与国之间的核心利益关系以及疫情发生后的经济缓解措施有间接关系？从而进一步促进我国的经济崛起和疫情后各国的利益？

袭击:北京、上海和其他相关政府单位

在同样的全球疫情下，各大企事业单位都采用了云端工作的模式，各种挽救疫情的措施、经济措施、恢复工作的手段和企业数据都通过vpn发出或返回指令。这一次，黑酒店袭击了北京、上海等相关政府部门，它掌握了中国的疫情数据和经济复苏的手段吗？

360安全大脑监测发现下列政府相关机构遭到攻击:

为什么虚拟专用网是一个突破？

在相关漏洞分析中，发现被攻击的vpn服务器之一是2014年发布的m6.3 r1。因为版本太旧了，有很多安全漏洞。

同时，相关单位运行维护开发商的安全意识不强。为了工作方便，维护的客户的敏感信息保存在工作页面上。泄露的两个数据页如下:元*/*/*元*/*/*

正是由于关键基础设施的安全漏洞和相关人员的安全意识薄弱，vpn服务器才被黑客攻破。

关于漏洞报告时间表:

2020年4月3日，360，该漏洞被书面报告给沈心紧急安全响应中心。与此同时，与沈心交流了漏洞的详细情况，并正式确认了漏洞号(src-2020-281)，以便采取后续行动。

2020年4月6日，我确信该官员正式发布了安全公告，并开始了漏洞响应。

360安全大脑给出以下修复建议:

1.管理员参考vpn制造商的升级方案将vpn服务器系统升级到最新版本，并修复已知的安全漏洞。

2.管理员限制外部网络或不受信任的ip访问vpn服务器的控制台管理端口，并阻止黑客攻击和入侵vpn服务器的管理背景。

3.管理员应加强账户保护，使用高强度、高安全性的密码，防止管理员被暴力猜中。

4.vpn用户应该避免使用vpn客户端连接到不受信任的vpn服务器。

5.vpn用户使用360安全防护来彻底消毒所有磁盘，并打开实时保护来抵御此漏洞的攻击。

最后的

在360安全大脑——威胁情报中心:

自2014年以来，360安全脑通过整合海量安全大数据，实现了apt威胁情报的快速关联追踪，并专门发现和追踪了40个apt组织和黑客团伙，独立发现许多海外apt组织利用“在野外”0天漏洞对中国境内目标发起apt攻击。 这极大地拓宽了国内对apt攻击的研究视野和研究深度，填补了国内apt研究的空白。我们发现，国外针对中国目标的攻击最早可以追溯到2007年，在中国至少影响了1万多台计算机，攻击范围遍及中国31个省级行政区域。 我们发现的apt攻击和一些外国安全供应商发现的apt攻击可以直接证明中国是apt攻击的主要受害者。

来源：搜狐微门户