freeBuf
主站

分类

漏洞 工具 极客 Web安全 系统安全 网络安全 无线安全 设备/客户端安全 数据安全 安全管理 企业安全 工控安全

特色

头条 人物志 活动 视频 观点 招聘 报告 资讯 区块链安全 标准与合规 容器安全 公开课

官方公众号企业安全新浪微博

FreeBuf.COM网络安全行业门户,每日发布专业的安全资讯、技术剖析。

FreeBuf+小程序

FreeBuf+小程序

席卷全球158国的Citrix高危漏洞正被利用,有黑客组织安置“独家”后门
2020-01-20 18:28:46

大家好,我是 零日情报局。

本文首发于公众号 零日情报局,微信ID:lingriqingbaoju

 

新年新气象,黑客也一样。

 

四周前,Citrix产品曝“雷”。高危漏洞(CVE-2019-19781)波及全球158个国家、超8万家公司,一场堪比“WannaCry”量级的安全威胁横扫世界。

 

风波未平,最近却有一神秘黑客组织,通过一名为NOTROBIN的程序,积极部署漏洞(CVE-2019-19781)缓解措施,阻止其他恶意行为利用漏洞攻击Citrix 服务器。

 

image001.jpg

 缓解漏洞阻止攻击,怎么看都应该是个好事,可事情远没有这么简单。这个看似友好的黑客组织在部署NOTROBIN 缓解漏洞利用攻击的同时,悄悄地置入一个新的有效载荷后门。

 

后门的存在,直接让黑客防御漏洞利用的行为,成了薛定谔的猫。毕竟,有了后门权限,黑客随时可能成为新的攻击者。

 

先伪装好人混进去再行动的攻击手段,对黑客来说虽然少见,但并非没有。

 

 

NOTROBIN漏洞利用缓解措施

 

下面零日给大家说说,神秘黑客组织的“糖衣炮弹”,被FireEye命名为“NOTROBIN”的Citrix漏洞利用缓解程序。

 

NOTROBIN是用Go 1.10编写的实用程序,可通过定期扫描并删除匹配文件名模式和内容特征的文件,达到阻止漏洞(CVE-2019-19781)利用攻击的目的。在实时删除包含命令的恶意模板后,还会向攻击者发送“404错误”消息。

 

image003.png

(Web日志条目显示了失败的利用尝试)

 

在执行过程中时,NOTROBIN从Tor出口节点发出HTTP POST请求,以将有效负载传输到易受攻击的newbm.pl CGI脚本。

 

image004.png

(显示利用的Web日志)

 

随后,利用单个HTTP POST请求来利用设备,从而导致HTTP 304响应-没有观察到的HTTPGET来调用分段命令,导致下图所示的Bash one衬板在受感染的系统上运行。

 

image006.png

(Bash攻击有效负载)

 

NOTROBIN执行过程中,会以每秒八次的高频率,在目录/ netscaler / portal /templates /中,搜索扩展名为.xml(漏洞利用攻击程序)的文件,实时删除包含可能与潜在漏洞利用代码匹配的block字符或BLOCK文件。

 

在FireEye持续监控的72小时里,NOTROBIN有效阻止了十余次Citrix NetScaler漏洞利用攻击。如此高效的防御手段,NOTROBIN程序的漏洞利用缓解措施可谓十足良心。

 

如果是普通的白帽子,做到这一步,其实就差不多已经结束了。不过,NOTROBIN可并非出自白帽子之手,其背后的神秘黑客,显然是有备而来。

 

 

靠后门独占权限的神秘黑客

 

正如开篇所说,神秘黑客通过NOTROBIN阻止漏洞(CVE-2019-19781)利用攻击的同时,也埋下了一个新的安全隐患——后门。说白了,黑客现在能阻挡恶意攻击,也能通过后门访问权限成为新的攻击者。

 

执行过程中,NOTROBIN会将进程从/tmp /(一个长期运行进程的可疑位置)迁移到与NetScaler相关的隐藏目录中,以便形成长期有效的检测范围。

 

image008.png

(从NOTROBIN示例恢复的源文件名)

 

而后门的置入,则让NOTROBIN牢牢掌握了检测范围内恶意攻击的进出权限。

 

只有那些包含 64d4c2d3ee56af4f4ca8171556d50faa 等硬编码密钥的文件名或文件内容,才可以执行,而那些没有密钥的恶意攻击文件,就会被拦截在外。至于谁有密钥,自然是部署了NOTROBIN的神秘黑客。

 

按这种情况,Citrix漏洞几乎成了NOTROBIN幕后黑客的专属攻击通道。大有此山是我开,此树是我栽,要想从这过,留下密钥来的架势。

 

 

静待官方补丁上线排雷

 

不难看出,利用NOTROBIN的神秘黑客的确在段时间内,阻挡了大批针对NetScaler设备的漏洞利用攻击,但后门的存在无疑是在酝酿着新的,且更为不可控的破坏。

 

FireEye报告中就强调,神秘黑客可以在后续的任意时间,重新获得易受攻击设备的访问权限,他们也十分怀疑NOTROBIN背后的神秘黑客,是否会继续保护NetScaler设备免受侵害。而对用户来说,这无疑是赶走了群狼,招来了恶虎。

 

目前,FireEye已从NOTROBIN变体中识别出将近100个硬编码密钥,也就是说攻击者随时可能通过这些密钥,重新进入受迫害的设备,也许距离神秘黑客撕下伪装的时刻越来越近了。

 

image009.png

 

对于广大企业用户来说,目前最有效防御办法,也就是荷兰国家网络安全管理局(NCSC)说的,直接关闭Citrix ADC和Citrix Gateway系统,直至官方补丁正式上线。有消息显示1月底前有效的漏洞补丁就会上线。

 

零日反思

 

Citrix作为一个独立的远程应用接入系统,一直标榜着安全、自由地实时业务处理体验。12月下旬CVE-2019-19781漏洞曝出后,即使官方第一时间发布缓解措施,但在难以估量的政企级安全威胁面前,荷兰等政府直接建议关闭系统,再一次提醒着我们漏洞威胁的恐怖。

 

网络空间,漏洞就如安全的威胁之源。

 

零日情报局作品

微信公众号:lingriqingbaoju

如需转载,请后台留言

欢迎分享朋友圈

 

参考资料:

FireEye《404未发现漏洞:部署漏洞缓解措施与置入后门》

TheRegister《黑客修补Citrix漏洞并留下后门》

 

微信图片_20191206215302.gif

# Citrix漏洞
本文为 独立观点,未经允许不得转载,授权请联系FreeBuf客服小蜜蜂,微信:freebee2022
被以下专辑收录,发现更多精彩内容
+ 收入我的专辑
+ 加入我的收藏
相关推荐
  • 0 文章数
  • 0 关注者