大家好,我是零日情报局。
新年新气象,黑客也一样。
四周前,citrix产品曝“雷”。高危漏洞(cve-2019-19781)波及全球158个国家、超8万家公司,一场堪比“wannacry”量级的安全威胁横扫世界。
风波未平,最近却有一神秘黑客组织,通过一名为notrobin的程序,积极部署漏洞(cve-2019-19781)缓解措施,阻止其他恶意行为利用漏洞攻击citrix 服务器。
缓解漏洞阻止攻击,怎么看都应该是个好事,可事情远没有这么简单。这个看似友好的黑客组织在部署notrobin 缓解漏洞利用攻击的同时,悄悄地置入一个新的有效载荷后门。
后门的存在,直接让黑客防御漏洞利用的行为,成了薛定谔的猫。毕竟,有了后门权限,黑客随时可能成为新的攻击者。
先伪装好人混进去再行动的攻击手段,对黑客来说虽然少见,但并非没有。
下面零日给大家说说,神秘黑客组织的“糖衣炮弹”,被fireeye命名为“notrobin”的citrix漏洞利用缓解程序。
notrobin是用go 1.10编写的实用程序,可通过定期扫描并删除匹配文件名模式和内容特征的文件,达到阻止漏洞(cve-2019-19781)利用攻击的目的。在实时删除包含命令的恶意模板后,还会向攻击者发送“404错误”消息。
(web日志条目显示了失败的利用尝试)
在执行过程中时,notrobin从tor出口节点发出http post请求,以将有效负载传输到易受攻击的newbm.pl cgi脚本。
(显示利用的web日志)
随后,利用单个http post请求来利用设备,从而导致http 304响应-没有观察到的http get来调用分段命令,导致下图所示的bash one衬板在受感染的系统上运行。
(bash攻击有效负载)
notrobin执行过程中,会以每秒八次的高频率,在目录/ netscaler / portal / templates /中,搜索扩展名为.xml(漏洞利用攻击程序)的文件,实时删除包含可能与潜在漏洞利用代码匹配的block字符或block文件。
在fireeye持续监控的72小时里,notrobin有效阻止了十余次citrix netscaler漏洞利用攻击。如此高效的防御手段,notrobin程序的漏洞利用缓解措施可谓十足良心。
如果是普通的白帽子,做到这一步,其实就差不多已经结束了。不过,notrobin可并非出自白帽子之手,其背后的神秘黑客,显然是有备而来。
正如开篇所说,神秘黑客通过notrobin阻止漏洞(cve-2019-19781)利用攻击的同时,也埋下了一个新的安全隐患——后门。说白了,黑客现在能阻挡恶意攻击,也能通过后门访问权限成为新的攻击者。
执行过程中,notrobin会将进程从/ tmp /(一个长期运行进程的可疑位置)迁移到与netscaler相关的隐藏目录中,以便形成长期有效的检测范围。
(从notrobin示例恢复的源文件名)
而后门的置入,则让notrobin牢牢掌握了检测范围内恶意攻击的进出权限。
只有那些包含64d4c2d3ee56af4f4ca8171556d50faa等硬编码密钥的文件名或文件内容,才可以执行,而那些没有密钥的恶意攻击文件,就会被拦截在外。至于谁有密钥,自然是部署了notrobin的神秘黑客。
按这种情况,citrix漏洞几乎成了notrobin幕后黑客的专属攻击通道。大有此山是我开,此树是我栽,要想从这过,留下密钥来的架势。
不难看出,利用notrobin的神秘黑客的确在段时间内,阻挡了大批针对netscaler设备的漏洞利用攻击,但后门的存在无疑是在酝酿着新的,且更为不可控的破坏。
fireeye报告中就强调,神秘黑客可以在后续的任意时间,重新获得易受攻击设备的访问权限,他们也十分怀疑notrobin背后的神秘黑客,是否会继续保护netscaler设备免受侵害。而对用户来说,这无疑是赶走了群狼,招来了恶虎。
目前,fireeye已从notrobin变体中识别出将近100个硬编码密钥,也就是说攻击者随时可能通过这些密钥,重新进入受迫害的设备,也许距离神秘黑客撕下伪装的时刻越来越近了。
对于广大企业用户来说,目前最有效防御办法,也就是荷兰国家网络安全管理局(ncsc)说的,直接关闭citrix adc和citrix gateway系统,直至官方补丁正式上线。有消息显示1月底前有效的漏洞补丁就会上线。
citrix作为一个独立的远程应用接入系统,一直标榜着安全、自由地实时业务处理体验。12月下旬cve-2019-19781漏洞曝出后,即使官方第一时间发布缓解措施,但在难以估量的政企级安全威胁面前,荷兰等政府直接建议关闭系统,再一次提醒着我们漏洞威胁的恐怖。
网络空间,漏洞就如安全的威胁之源。
零日情报局作品
微信公众号:lingriqingbaoju
凯发k8旗舰厅app下载 copyright © 2009-2018 idcbgp.com. all rights reserved. 麦云网络 凯发k8官网下载客户端中心的版权所有 济南麦云网络科技有限公司