大家好，我是 零日情報局。

本文首發於公眾號 零日情報局，微信ID：lingriqingbaoju。

新年新氣象，黑客也一樣。

四周前，Citrix產品曝“雷”。高危漏洞（CVE-2019-19781）波及全球158個國家、超8萬家公司，一場堪比“WannaCry”量級的安全威脅橫掃世界。

風波未平，最近卻有一神祕黑客組織，通過一名為NOTROBIN的程式，積極部署漏洞（CVE-2019-19781）緩解措施，阻止其他惡意行為利用漏洞攻擊Citrix 伺服器。

緩解漏洞阻止攻擊，怎麼看都應該是個好事，可事情遠沒有這麼簡單。這個看似友好的黑客組織在部署NOTROBIN 緩解漏洞利用攻擊的同時，悄悄地置入一個新的有效載荷後門。

後門的存在，直接讓黑客防禦漏洞利用的行為，成了薛定諤的貓。畢竟，有了後門許可權，黑客隨時可能成為新的攻擊者。

先偽裝好人混進去再行動的攻擊手段，對黑客來說雖然少見，但並非沒有。

NOTROBIN漏洞利用緩解措施

下面零日給大家說說，神祕黑客組織的“糖衣炮彈”，被FireEye命名為“NOTROBIN”的Citrix漏洞利用緩解程式。

NOTROBIN是用Go 1.10編寫的實用程式，可通過定期掃描並刪除匹配檔名模式和內容特徵的檔案，達到阻止漏洞（CVE-2019-19781）利用攻擊的目的。在實時刪除包含命令的惡意模板後，還會向攻擊者傳送“404錯誤”訊息。

（Web日誌條目顯示了失敗的利用嘗試）

在執行過程中時，NOTROBIN從Tor出口節點發出HTTP POST請求，以將有效負載傳輸到易受攻擊的newbm.pl CGI指令碼。

（顯示利用的Web日誌）

隨後，利用單個HTTP POST請求來利用裝置，從而導致HTTP 304響應-沒有觀察到的HTTP GET來呼叫分段命令，導致下圖所示的Bash one襯板在受感染的系統上執行。

（Bash攻擊有效負載）

NOTROBIN執行過程中，會以每秒八次的高頻率，在目錄/ netscaler / portal / templates /中，搜尋副檔名為.xml（漏洞利用攻擊程式）的檔案，實時刪除包含可能與潛在漏洞利用程式碼匹配的block字元或BLOCK檔案。

在FireEye持續監控的72小時裡，NOTROBIN有效阻止了十餘次Citrix NetScaler漏洞利用攻擊。如此高效的防禦手段，NOTROBIN程式的漏洞利用緩解措施可謂十足良心。

如果是普通的白帽子，做到這一步，其實就差不多已經結束了。不過，NOTROBIN可並非出自白帽子之手，其背後的神祕黑客，顯然是有備而來。

靠後門獨佔許可權的神祕黑客

正如開篇所說，神祕黑客通過NOTROBIN阻止漏洞（CVE-2019-19781）利用攻擊的同時，也埋下了一個新的安全隱患——後門。說白了，黑客現在能阻擋惡意攻擊，也能通過後門訪問許可權成為新的攻擊者。

執行過程中，NOTROBIN會將程式從/ tmp /（一個長期執行程式的可疑位置）遷移到與NetScaler相關的隱藏目錄中，以便形成長期有效的檢測範圍。

（從NOTROBIN示例恢復的原始檔名）

而後門的置入，則讓NOTROBIN牢牢掌握了檢測範圍內惡意攻擊的進出許可權。

只有那些包含 64d4c2d3ee56af4f4ca8171556d50faa 等硬編碼金鑰的檔名或檔案內容，才可以執行，而那些沒有金鑰的惡意攻擊檔案，就會被攔截在外。至於誰有金鑰，自然是部署了NOTROBIN的神祕黑客。

按這種情況，Citrix漏洞幾乎成了NOTROBIN幕後黑客的專屬攻擊通道。大有此山是我開，此樹是我栽，要想從這過，留下金鑰來的架勢。

靜待官方補丁上線排雷

不難看出，利用NOTROBIN的神祕黑客的確在段時間內，阻擋了大批針對NetScaler裝置的漏洞利用攻擊，但後門的存在無疑是在醞釀著新的，且更為不可控的破壞。

FireEye報告中就強調，神祕黑客可以在後續的任意時間，重新獲得易受攻擊裝置的訪問許可權，他們也十分懷疑NOTROBIN背後的神祕黑客，是否會繼續保護NetScaler裝置免受侵害。而對使用者來說，這無疑是趕走了群狼，招來了惡虎。

目前，FireEye已從NOTROBIN變體中識別出將近100個硬編碼金鑰，也就是說攻擊者隨時可能通過這些金鑰，重新進入受迫害的裝置，也許距離神祕黑客撕下偽裝的時刻越來越近了。

對於廣大企業使用者來說，目前最有效防禦辦法，也就是荷蘭國家網路安全管理局（NCSC）說的，直接關閉Citrix ADC和Citrix Gateway系統，直至官方補丁正式上線。有訊息顯示1月底前有效的漏洞補丁就會上線。

零日反思

Citrix作為一個獨立的遠端應用接入系統，一直標榜著安全、自由地實時業務處理體驗。12月下旬CVE-2019-19781漏洞曝出後，即使官方第一時間釋出緩解措施，但在難以估量的政企級安全威脅面前，荷蘭等政府直接建議關閉系統，再一次提醒著我們漏洞威脅的恐怖。

網路空間，漏洞就如安全的威脅之源。

零日情報局作品

微信公眾號：lingriqingbaoju

如需轉載，請後臺留言

歡迎分享朋友圈

參考資料：

FireEye《404未發現漏洞:部署漏洞緩解措施與置入後門》

The Register《黑客修補Citrix漏洞並留下後門》