关于深信服VPN漏洞及勒索病毒

释放双眼,带上耳机,听听看~!

一、深信服VPN

 

事件溯源

近期,监测发现境外APT组织Dark hotel(APT-C-06) 利用深信服VPN产品漏洞, 劫持控制我国境内较多深信服VPN服务器, 并向VPN客户端终端设备下发伪装成升级文件的恶意程序,对我政府部门实施APT攻击活动。据报告, 目前已发现该APT组织已控制相关单位共数百台VPN服务器, 并进而控制了大量的VPN客户端终端设备。本次漏洞系SSL VPN设备Windows客户端升级模块签名验证机制的缺陷,但该漏洞利用前提需通过获取SSL VPN设备管理员账号密码等方式控制SSL VPN设备的权限。

应对方案指引

1、检查VPN服务器日志, 核查是否存在管理员账号异常登录、SangforUD.exe文件被替换等异常情况;

2、限制外网或非信任IP访问VPN服务器的4430控制台管理端口, 阻断黑客针对VPN服务器管理后台进行的攻击。

3、加强账号保护,使用高强度的密码,防止管理员密码被暴力猜解。

4、VPN服务器和客户终端安装安全软件, 及时查杀恶意程序,开启实时保护防御。

请关注深信服公司的升级软件和解决方案,及时修复相关漏洞。

二、勒索病毒

 

事件溯源

该勒索病毒最早网上报告时间大约2020年4月4日下午5时。接下来陆续有人在百度贴吧、360论坛以及火绒论坛进行求助!病毒感染后,显示赎金为0.05个比特币,内容语言为繁体,未明确编写的程序语言

威胁分析及应对方案指引

(1)按目前情报看来,该病毒有两种形式:

  1. 以TXT形式进行感染
  2. 以png图片形式进行感染。

(2)实例情况:

  1. 安装火绒的Windows 10感染时,未开启进程监控,无木马病毒报告,但是马上被感染,文件均被加密,后缀名wannaren,怀疑wannacry永恒之蓝变种
  2. 安装360安全卫士的Windows7感染时,虽然进行了第一时间的查杀,仍然感染,所有文件均被加密,后缀名wannaren,怀疑wannacry永恒之蓝变种
    目前有报告称在安装微软”永恒之蓝“系统补丁后仍可感染(还待考证)

(3)病毒特征:

1、大部分杀毒软件无法进行有效检测和拦截,目前已知诺顿能够拦截,但对网络要求较高(此勒索病毒不利用原版永恒之蓝漏洞)

2、部分Win7免疫但有弹窗无伤害(可能为盗版团队对系统安全优化阻止感染),Win10和Win8.x以及Windows Server系列均可被感染,版本原因正在确认中

3、会检测识别VM虚拟机,在VM虚拟机上不会运行加密操作。执行加密操作后会删除自身程序,只留下附属的解密程序

总结

近期不要下载和打开来源不明的文件,不要浏览不明网站;

最好安装所有的更新补丁,装上杀毒软件(推荐火绒);

Win10最好开启自带的防火墙,服务器只开放使用到的端口;

此次病毒对Linux和macOS不够成影响,不要散布谣言

及时关注病毒动态,等待安全厂商的官方回应

WEB安全数据安全漏洞质量好文

MySQL注射绕过技巧

2020-4-8 22:30:14

漏洞质量好文

针对盛邦WAF防护功能的一次测试

2020-4-9 18:29:16

0 条回复 A文章作者 M管理员
    暂无讨论,说说你的看法吧
个人中心
购物车
优惠劵
有新私信 私信列表
搜索