席卷全球158国的Citrix高危漏洞正被利用,有黑客组织安置“独家”后门

 

大家好,我是零日情报局。

新年新气象,黑客也一样。

四周前,Citrix产品曝“雷”。高危漏洞(CVE-2019-19781)波及全球158个国家、超8万家公司,一场堪比“WannaCry”量级的安全威胁横扫世界。

风波未平,最近却有一神秘黑客组织,通过一名为NOTROBIN的程序,积极部署漏洞(CVE-2019-19781)缓解措施,阻止其他恶意行为利用漏洞攻击Citrix 服务器。

缓解漏洞阻止攻击,怎么看都应该是个好事,可事情远没有这么简单。这个看似友好的黑客组织在部署NOTROBIN 缓解漏洞利用攻击的同时,悄悄地置入一个新的有效载荷后门。

后门的存在,直接让黑客防御漏洞利用的行为,成了薛定谔的猫。毕竟,有了后门权限,黑客随时可能成为新的攻击者。

先伪装好人混进去再行动的攻击手段,对黑客来说虽然少见,但并非没有。

 

NOTROBIN漏洞利用缓解措施

下面零日给大家说说,神秘黑客组织的“糖衣炮弹”,被FireEye命名为“NOTROBIN”的Citrix漏洞利用缓解程序。

NOTROBIN是用Go 1.10编写的实用程序,可通过定期扫描并删除匹配文件名模式和内容特征的文件,达到阻止漏洞(CVE-2019-19781)利用攻击的目的。在实时删除包含命令的恶意模板后,还会向攻击者发送“404错误”消息。

(Web日志条目显示了失败的利用尝试)

在执行过程中时,NOTROBIN从Tor出口节点发出HTTP POST请求,以将有效负载传输到易受攻击的newbm.pl CGI脚本。

(显示利用的Web日志)

随后,利用单个HTTP POST请求来利用设备,从而导致HTTP 304响应-没有观察到的HTTP GET来调用分段命令,导致下图所示的Bash one衬板在受感染的系统上运行。

(Bash攻击有效负载)

NOTROBIN执行过程中,会以每秒八次的高频率,在目录/ netscaler / portal / templates /中,搜索扩展名为.xml(漏洞利用攻击程序)的文件,实时删除包含可能与潜在漏洞利用代码匹配的block字符或BLOCK文件。

在FireEye持续监控的72小时里,NOTROBIN有效阻止了十余次Citrix NetScaler漏洞利用攻击。如此高效的防御手段,NOTROBIN程序的漏洞利用缓解措施可谓十足良心。

如果是普通的白帽子,做到这一步,其实就差不多已经结束了。不过,NOTROBIN可并非出自白帽子之手,其背后的神秘黑客,显然是有备而来。

 

靠后门独占权限的神秘黑客

正如开篇所说,神秘黑客通过NOTROBIN阻止漏洞(CVE-2019-19781)利用攻击的同时,也埋下了一个新的安全隐患——后门。说白了,黑客现在能阻挡恶意攻击,也能通过后门访问权限成为新的攻击者。

执行过程中,NOTROBIN会将进程从/ tmp /(一个长期运行进程的可疑位置)迁移到与NetScaler相关的隐藏目录中,以便形成长期有效的检测范围。

(从NOTROBIN示例恢复的源文件名)

而后门的置入,则让NOTROBIN牢牢掌握了检测范围内恶意攻击的进出权限。

只有那些包含64d4c2d3ee56af4f4ca8171556d50faa等硬编码密钥的文件名或文件内容,才可以执行,而那些没有密钥的恶意攻击文件,就会被拦截在外。至于谁有密钥,自然是部署了NOTROBIN的神秘黑客。

按这种情况,Citrix漏洞几乎成了NOTROBIN幕后黑客的专属攻击通道。大有此山是我开,此树是我栽,要想从这过,留下密钥来的架势。

 

静待官方补丁上线排雷

不难看出,利用NOTROBIN的神秘黑客的确在段时间内,阻挡了大批针对NetScaler设备的漏洞利用攻击,但后门的存在无疑是在酝酿着新的,且更为不可控的破坏。

FireEye报告中就强调,神秘黑客可以在后续的任意时间,重新获得易受攻击设备的访问权限,他们也十分怀疑NOTROBIN背后的神秘黑客,是否会继续保护NetScaler设备免受侵害。而对用户来说,这无疑是赶走了群狼,招来了恶虎。

目前,FireEye已从NOTROBIN变体中识别出将近100个硬编码密钥,也就是说攻击者随时可能通过这些密钥,重新进入受迫害的设备,也许距离神秘黑客撕下伪装的时刻越来越近了。

对于广大企业用户来说,目前最有效防御办法,也就是荷兰国家网络安全管理局(NCSC)说的,直接关闭Citrix ADC和Citrix Gateway系统,直至官方补丁正式上线。有消息显示1月底前有效的漏洞补丁就会上线。

 

零日反思

Citrix作为一个独立的远程应用接入系统,一直标榜着安全、自由地实时业务处理体验。12月下旬CVE-2019-19781漏洞曝出后,即使官方第一时间发布缓解措施,但在难以估量的政企级安全威胁面前,荷兰等政府直接建议关闭系统,再一次提醒着我们漏洞威胁的恐怖。

网络空间,漏洞就如安全的威胁之源。

零日情报局作品

微信公众号:lingriqingbaoju

参考资料:

FireEye《404未发现漏洞:部署漏洞缓解措施与置入后门》

The Register《黑客修补Citrix漏洞并留下后门》

(完)