360安全卫士
360杀毒
360文档卫士
360安全浏览器
360极速浏览器
360安全云盘
360随身WiFi
360搜索
系统急救箱
重装大师
勒索病毒救助
急救盘
高危漏洞免疫
360压缩
驱动大师
鲁大师
360换机助手
360清理大师Win10
360游戏大厅
360软件管家
360手机卫士
360防骚扰大师
360加固保
360贷款神器
360手机浏览器
360安全云盘
360免费WiFi
安全客
手机助手
安全换机
360帮帮
清理大师
省电王
360商城
360天气
360锁屏
手机专家
快剪辑
360影视
360娱乐
快资讯
你财富
360借条
360互助
信贷管家
360摄像机云台AI版
360摄像机小水滴AI版
360摄像机云台变焦版
360可视门铃
360摄像机云台1080p
家庭防火墙V5S增强版
家庭防火墙5Pro
家庭防火墙5SV2
家庭防火墙路由器5C
360儿童手表S1
360儿童手表8X
360儿童手表P1
360儿童手表SE5
360智能健康手表
行车记录仪M310
行车记录仪K600
行车记录仪G380
360行车记录仪G600
儿童安全座椅
360扫地机器人X90
360扫地机器人T90
360扫地机器人S7
360扫地机器人S6
360扫地机器人S5
360安全卫士
360杀毒
360文档卫士
360安全浏览器
360极速浏览器
360随身WiFi
360搜索
系统急救箱
重装大师
急救盘
勒索病毒救助
360压缩
驱动大师
鲁大师
360游戏大厅
360软件管家
360手机卫士
360防骚扰大师
手机急救箱
360加固保
360贷款神器
360免费WiFi
安全客
手机助手
一键root
安全换机
360帮帮
信用卫士
清理大师
省电王
360商城
流量卫士
360天气
360锁屏
手机专家
快剪辑
360影视
360娱乐
快资讯
你财富
360借条
360手机N7
360手机N6
Pro
360手机vizza
360手机N5S
360儿童手表6C
360儿童手表6W
360儿童手表SE2代
360手表SE2Plus
360老人手表
360摄像机大众版
360安全路由器P3
360安全路由器P2
360儿童机器人
外设产品
影音娱乐
平板电脑
二手手机
二代 美猴王版
二代
美猴王领航版
标准升级版
后视镜版
车载电器席卷全球158国的Citrix高危漏洞正被利用,有黑客组织置入“独家”后门
- 2020-01-20 09:54:21
新年新气象,黑客也一样。
四周前,Citrix产品曝“雷”。高危漏洞(CVE-2019-19781)波及全球158个国家、超8万家公司,一场堪比“WannaCry”量级的安全威胁横扫世界。风波未平,最近却有一神秘黑客组织,通过一名为NOTROBIN的程序,积极部署漏洞(CVE-2019-19781)缓解措施,阻止其他恶意行为利用漏洞攻击Citrix 服务器。
缓解漏洞阻止攻击,怎么看都应该是个好事,可事情远没有这么简单。这个看似友好的黑客组织在部署NOTROBIN 缓解漏洞利用攻击的同时,悄悄地置入一个新的有效载荷后门。
后门的存在,直接让黑客防御漏洞利用的行为,成了薛定谔的猫。毕竟,有了后门权限,黑客随时可能成为新的攻击者。先伪装好人混进去再行动的攻击手段,对黑客来说虽然少见,但并非没有。
NOTROBIN漏洞利用缓解措施
下面零日给大家说说,神秘黑客组织的“糖衣炮弹”,被FireEye命名为“NOTROBIN”的Citrix漏洞利用缓解程序。
NOTROBIN是用Go 1.10编写的实用程序,可通过定期扫描并删除匹配文件名模式和内容特征的文件,达到阻止漏洞(CVE-2019-19781)利用攻击的目的。在实时删除包含命令的恶意模板后,还会向攻击者发送“404错误”消息。
在执行过程中时,NOTROBIN从Tor出口节点发出HTTP POST请求,以将有效负载传输到易受攻击的newbm.pl CGI脚本。
随后,利用单个HTTP POST请求来利用设备,从而导致HTTP 304响应-没有观察到的HTTPGET来调用分段命令,导致下图所示的Bash one衬板在受感染的系统上运行。
NOTROBIN执行过程中,会以每秒八次的高频率,在目录/ netscaler / portal /templates /中,搜索扩展名为.xml(漏洞利用攻击程序)的文件,实时删除包含可能与潜在漏洞利用代码匹配的block字符或BLOCK文件。
在FireEye持续监控的72小时里,NOTROBIN有效阻止了十余次Citrix NetScaler漏洞利用攻击。如此高效的防御手段,NOTROBIN程序的漏洞利用缓解措施可谓十足良心。
如果是普通的白帽子,做到这一步,其实就差不多已经结束了。不过,NOTROBIN可并非出自白帽子之手,其背后的神秘黑客,显然是有备而来。
靠后门独占权限的神秘黑客
正如开篇所说,神秘黑客通过NOTROBIN阻止漏洞(CVE-2019-19781)利用攻击的同时,也埋下了一个新的安全隐患——后门。说白了,黑客现在能阻挡恶意攻击,也能通过后门访问权限成为新的攻击者。
执行过程中,NOTROBIN会将进程从/tmp/(一个长期运行进程的可疑位置)迁移到与NetScaler相关的隐藏目录中,以便形成长期有效的检测范围。
而后门的置入,则让NOTROBIN牢牢掌握了检测范围内恶意攻击的进出权限。
只有那些包含64d4c2d3ee56af4f4ca8171556d50faa等硬编码密钥的文件名或文件内容,才可以执行,而那些没有密钥的恶意攻击文件,就会被拦截在外。至于谁有密钥,自然是部署了NOTROBIN的神秘黑客。
按这种情况,Citrix漏洞几乎成了NOTROBIN幕后黑客的专属攻击通道。大有此山是我开,此树是我栽,要想从这过,留下密钥来的架势。
静待官方补丁上线排雷
不难看出,利用NOTROBIN的神秘黑客的确在段时间内,阻挡了大批针对NetScaler设备的漏洞利用攻击,但后门的存在无疑是在酝酿着新的,且更为不可控的破坏。
FireEye报告中就强调,神秘黑客可以在后续的任意时间,重新获得易受攻击设备的访问权限,他们也十分怀疑NOTROBIN背后的神秘黑客,是否会继续保护NetScaler设备免受侵害。而对用户来说,这无疑是赶走了群狼,招来了恶虎。
目前,FireEye已从NOTROBIN变体中识别出将近100个硬编码密钥,也就是说攻击者随时可能通过这些密钥,重新进入受迫害的设备,也许距离神秘黑客撕下伪装的时刻越来越近了。
对于广大企业用户来说,目前最有效防御办法,也就是荷兰国家网络安全管理局(NCSC)说的,直接关闭Citrix ADC和Citrix Gateway系统,直至官方补丁正式上线。有消息显示1月底前有效的漏洞补丁就会上线。
零日反思
Citrix作为一个独立的远程应用接入系统,一直标榜着安全、自由地实时业务处理体验。12月下旬CVE-2019-19781漏洞曝出后,即使官方第一时间发布缓解措施,但在难以估量的政企级安全威胁面前,荷兰等政府直接建议关闭系统,再一次提醒着我们漏洞威胁的恐怖。
网络空间,漏洞就如安全的威胁之源。
参考资料:
FireEye《404未发现漏洞:部署漏洞缓解措施与置入后门》
The Register《黑客修补Citrix漏洞并留下后门》
京公网安备 11000002000006号