席捲全球158國的Citrix高危漏洞正被利用,有黑客組織安置“獨家”後門

零日情報局發表於2020-01-20

大家好,我是 零日情報局

本文首發於公眾號 零日情報局,微信ID:lingriqingbaoju


新年新氣象,黑客也一樣。


四周前,Citrix產品曝“雷”。高危漏洞(CVE-2019-19781)波及全球158個國家、超8萬家公司,一場堪比“WannaCry”量級的安全威脅橫掃世界。


風波未平,最近卻有一神祕黑客組織,通過一名為NOTROBIN的程式,積極部署漏洞(CVE-2019-19781)緩解措施,阻止其他惡意行為利用漏洞攻擊Citrix 伺服器。


席捲全球158國的Citrix高危漏洞正被利用,有黑客組織安置“獨家”後門


緩解漏洞阻止攻擊,怎麼看都應該是個好事,可事情遠沒有這麼簡單。這個看似友好的黑客組織在部署NOTROBIN 緩解漏洞利用攻擊的同時,悄悄地置入一個新的有效載荷後門。


後門的存在,直接讓黑客防禦漏洞利用的行為,成了薛定諤的貓。畢竟,有了後門許可權,黑客隨時可能成為新的攻擊者。


先偽裝好人混進去再行動的攻擊手段,對黑客來說雖然少見,但並非沒有。



NOTROBIN漏洞利用緩解措施


下面零日給大家說說,神祕黑客組織的“糖衣炮彈”,被FireEye命名為“NOTROBIN”的Citrix漏洞利用緩解程式。


NOTROBIN是用Go 1.10編寫的實用程式,可通過定期掃描並刪除匹配檔名模式和內容特徵的檔案,達到阻止漏洞(CVE-2019-19781)利用攻擊的目的。在實時刪除包含命令的惡意模板後,還會向攻擊者傳送“404錯誤”訊息。


席捲全球158國的Citrix高危漏洞正被利用,有黑客組織安置“獨家”後門

(Web日誌條目顯示了失敗的利用嘗試)


在執行過程中時,NOTROBIN從Tor出口節點發出HTTP POST請求,以將有效負載傳輸到易受攻擊的newbm.pl CGI指令碼。


席捲全球158國的Citrix高危漏洞正被利用,有黑客組織安置“獨家”後門

(顯示利用的Web日誌)


隨後,利用單個HTTP POST請求來利用裝置,從而導致HTTP 304響應-沒有觀察到的HTTP GET來呼叫分段命令,導致下圖所示的Bash one襯板在受感染的系統上執行。


席捲全球158國的Citrix高危漏洞正被利用,有黑客組織安置“獨家”後門

(Bash攻擊有效負載)


NOTROBIN執行過程中,會以每秒八次的高頻率,在目錄/ netscaler / portal / templates /中,搜尋副檔名為.xml(漏洞利用攻擊程式)的檔案,實時刪除包含可能與潛在漏洞利用程式碼匹配的block字元或BLOCK檔案。


在FireEye持續監控的72小時裡,NOTROBIN有效阻止了十餘次Citrix NetScaler漏洞利用攻擊。如此高效的防禦手段,NOTROBIN程式的漏洞利用緩解措施可謂十足良心。


如果是普通的白帽子,做到這一步,其實就差不多已經結束了。不過,NOTROBIN可並非出自白帽子之手,其背後的神祕黑客,顯然是有備而來。



靠後門獨佔許可權的神祕黑客


正如開篇所說,神祕黑客通過NOTROBIN阻止漏洞(CVE-2019-19781)利用攻擊的同時,也埋下了一個新的安全隱患——後門。說白了,黑客現在能阻擋惡意攻擊,也能通過後門訪問許可權成為新的攻擊者。


執行過程中,NOTROBIN會將程式從/ tmp /(一個長期執行程式的可疑位置)遷移到與NetScaler相關的隱藏目錄中,以便形成長期有效的檢測範圍。


席捲全球158國的Citrix高危漏洞正被利用,有黑客組織安置“獨家”後門

(從NOTROBIN示例恢復的原始檔名)


而後門的置入,則讓NOTROBIN牢牢掌握了檢測範圍內惡意攻擊的進出許可權。


只有那些包含 64d4c2d3ee56af4f4ca8171556d50faa 等硬編碼金鑰的檔名或檔案內容,才可以執行,而那些沒有金鑰的惡意攻擊檔案,就會被攔截在外。至於誰有金鑰,自然是部署了NOTROBIN的神祕黑客。


按這種情況,Citrix漏洞幾乎成了NOTROBIN幕後黑客的專屬攻擊通道。大有此山是我開,此樹是我栽,要想從這過,留下金鑰來的架勢。



靜待官方補丁上線排雷


不難看出,利用NOTROBIN的神祕黑客的確在段時間內,阻擋了大批針對NetScaler裝置的漏洞利用攻擊,但後門的存在無疑是在醞釀著新的,且更為不可控的破壞。


FireEye報告中就強調,神祕黑客可以在後續的任意時間,重新獲得易受攻擊裝置的訪問許可權,他們也十分懷疑NOTROBIN背後的神祕黑客,是否會繼續保護NetScaler裝置免受侵害。而對使用者來說,這無疑是趕走了群狼,招來了惡虎。


目前,FireEye已從NOTROBIN變體中識別出將近100個硬編碼金鑰,也就是說攻擊者隨時可能通過這些金鑰,重新進入受迫害的裝置,也許距離神祕黑客撕下偽裝的時刻越來越近了。


席捲全球158國的Citrix高危漏洞正被利用,有黑客組織安置“獨家”後門


對於廣大企業使用者來說,目前最有效防禦辦法,也就是荷蘭國家網路安全管理局(NCSC)說的,直接關閉Citrix ADC和Citrix Gateway系統,直至官方補丁正式上線。有訊息顯示1月底前有效的漏洞補丁就會上線。



零日反思


Citrix作為一個獨立的遠端應用接入系統,一直標榜著安全、自由地實時業務處理體驗。12月下旬CVE-2019-19781漏洞曝出後,即使官方第一時間釋出緩解措施,但在難以估量的政企級安全威脅面前,荷蘭等政府直接建議關閉系統,再一次提醒著我們漏洞威脅的恐怖。


網路空間,漏洞就如安全的威脅之源。


零日情報局作品

微信公眾號:lingriqingbaoju

如需轉載,請後臺留言

歡迎分享朋友圈



參考資料:

FireEye《404未發現漏洞:部署漏洞緩解措施與置入後門》

The Register《黑客修補Citrix漏洞並留下後門》


席捲全球158國的Citrix高危漏洞正被利用,有黑客組織安置“獨家”後門

相關文章