)
)
)
)
Как да защитите порта RDP
Тази статия предоставя дълбоко потопяване в осигуряването на вашите RDP портове, персонализирано за технологично подготвения IT професионалист.
)
)
Кибер новините се състоят от истории, всеки път по-страшни и безпокойни от предишните, подходяща тема за края на октомври. Citrix Bleed не е изключение. След предишна уязвимост и поправка през ранното лято, Citrix прави заглавия през повечето от тази есен с новини за проникване в големи корпоративни и правителствени мрежи. Ето как уязвимостта Citrix Bleed CVE-2023-4966 причинява безсъние в някои сфери, последващи препоръки и нашите собствени решения и защита, за да предпазим вашата отдалечена инфраструктура от такива опасности. Новините не са само лоши.
Citrix NetScaler ADC и NetScaler Gateway под обстрел.
Citrix Bleed, критична грешка за разкриване на информация, засягаща NetScaler ADC и NetScaler Gateway, е била подложена на "масова експлоатация", като хиляди уязвими сървъри на Citrix все още са онлайн въпреки пускането на пач на 10 октомври. Оттогава, редовни вълни от новини ни напомнят, че уязвимостта все още позволява на атакуващите да достъпват паметта на изложените устройства. Там атаките извличат сесионни токени за неоторизиран достъп, дори след като пачът е приложен.
Групи за отвличане на данни са злоупотребявали тази уязвимост, а Mandiant проследява няколко групи, целящи различни сектори по целия свят. Американското правителство я е класифицирало като неизвестна злоупотребена уязвимост. Притежаваният от Google Mandiant подчертава необходимостта да се прекратят всички активни сесии за ефективно намаляване на риска. Грешката е била злоупотребявана от края на август, като престъпници я използват за кибер шпионаж. Се очаква финансови заплахи да я злоупотребяват, затова е още по-важно да се спре Citrix Bleed преди да е твърде късно.
CVE-2023-4966 Уязвимост Продължава Въпреки Поправката
Изглежда, че към 30 октомври бяха оставени над 5 000 уязвими сървъри изложени в публичния интернет. GreyNoise забеляза 137 индивидуални IP адреса, които се опитват да злоупотребят с тази уязвимост на Citrix през изминалата седмица. Въпреки бързото разкриване и издаване на пач (CVE-2023-4966) от Citrix на 10 октомври, ситуацията се влоши бързо. Дори след прилагането на пача, сесионните токени продължаваха да съществуват, оставяйки системите уязвими за злоупотреба. Сериозността на ситуацията се подчертава от факта, че, както се опасява, екипите за рансъмуер са се възползвали от възможността да злоупотребяват с тази уязвимост, разпространявайки питон скриптове за автоматизиране на атакованата верига.
Стратегически обмислени инструменти и стъпки за атаките
Тези атаки придобиха многостранен характер, като продължиха след първоначалната експлоатация. Атакуващите изглежда са били ангажирани първоначално в мрежово разузнаване. Все пак, целите очевидно са се разширили до кражбата на критични потребителски учетни данни и показват странично движение през компрометираните мрежи. В тази фаза те използваха разнообразен набор от инструменти, демонстрирайки добре организиран подход към злонамерените си дейности.
Тези зад зад кампаниите са показали високо ниво на изтънченост в своя подход, използвайки широка гама от инструменти и техники, за да постигнат целите си. Атакуващите използваха специално създадени HTTP GET заявки, за да принудят устройството на Citrix да разкрие съдържанието на системната памет, включително валидни бисквитки за сесия на Netscaler AAA. Това им позволи да прескочат многофакторната аутентикация, правейки тяхното проникване още по-зловещо.
Внимавайте за конкретната комбинация на инструменти
Един от забележителните инструменти в техния арсенал е FREEFIRE, новаторски лек .NET заден вход, използващ Slack за команден и контрол. Това е единственият необичаен инструмент в арсенала. Атаките използваха много стандартни и нативни процеси, като допълнително бяха използвани стандартните инструменти за достъп и управление на отдалечения работен плот и Atera, AnyDesk и SplashTop. Това показва колко усилено работят хакерите, за да останат невидими за откриване. Наистина, докато по отделно тези инструменти обикновено се намират в легитимни предприятия, само техните комбинирани разпространение от страна на заплахата служи като значителен сигнал за тревога. Освен ако вашите софтуер за сигурност и екип не следят тази комбинация, която е показателна за компрометиране, тя би могла да остане незабелязана.
Ето списъкът с инструментите, които хакерите използват за извличане на информация за сесията и хоризонтално движение през мрежите (както и техните цели, както е описано от Bleeping Computer):
- net.exe - Активен директория (AD) разузнаване;
- netscan.exe – вътрешно мрежово изброяване;
- 7-zip - създайте криптиран сегментиран архив за компресиране на данни за разузнаване;
- certutil - кодиране (base64) и декодиране на данни и разпространяване на задни врати;
- e.exe и d.dll - заредете в паметта на процеса LSASS и създайте файлове с дъмп на паметта;
- sh3.exe - изпълнете командата Mimikatz LSADUMP за извличане на удостоверения;
- FREEFIRE - новаторски лек .NET заден вход, използващ Slack за команден и контрол;
- Atera - Дистанционно наблюдение и управление;
- AnyDesk – Дистанционен работен плот;
- SplashTop – Дистанционен работен плот.
Както вероятно се съгласявате, нищо особено неприятно, освен ако не ги намерите всички комбинирани. Освен един, разбира се: FREEFIRE.
FREEFIRE в частност се използва от хакери в Citrix Bleed.
Струва си да се отбележи, че докато някои от тези инструменти често се срещат в предприемачески среди, тяхното комбинирано използване в тези кампании е силен индикатор за нарушение. Mandiant дори е пуснал правило Yara, използвано за откриване на присъствието на FREEFIRE на устройство. Този инструмент е особено ценен за помагане на организациите да идентифицират компрометирани системи предварително и да предприемат бързи действия за намаляване на риска.
По-долу можете да намерите Yara правилото за откриване на FREEFIRE. Все пак, ако желаете да потвърдите правилото на Yara там или да прочетете техниките на MITRE ATT&CK, тези затварят статията на Mandiant. Там също можете да намерите техния линк към ръководството на Mandiant за „Citrix NetScaler ADC/Gateway: CVE-2023-4966 Remediation“ в PDF формат.
Правила на Mandiant's Yara за откриване на FREEFIRE в контекста на Citrix Bleed
)
И правилото като текст:
Yara Rule: import “pe” rule M_Hunting_Backdoor_FREEFIRE { meta: author = "Mandiant" description = "This is a hunting rule to detect FREEFIRE samples using OP code sequences in getLastRecord method" md5 = "eb842a9509dece779d138d2e6b0f6949" malware_family = "FREEFIRE" strings: $s1 = { 72 ?? ?? ?? ?? 7E ?? ?? ?? ?? 72 ?? ?? ?? ?? 28 ?? ?? ?? ?? 28 ?? ?? ?? ?? 74 ?? ?? ?? ?? 25 72 ?? ?? ?? ?? 6F ?? ?? ?? ?? 25 72 ?? ?? ?? ?? 6F ?? ?? ?? ?? 25 6F ?? ?? ?? ?? 72 ?? ?? ?? ?? 72 ?? ?? ?? ?? 7E ?? ?? ?? ?? 28 ?? ?? ?? ?? 6F ?? ?? ?? ?? 6F ?? ?? ?? ?? 74 ?? ?? ?? ?? 25 6F ???? ?? ?? 73 ?? ?? ?? ?? 6F ?? ?? ?? ?? ?? 6F ?? ?? ?? ?? 7E ?? ?? ?? ?? ?? 6F ?? ?? ?? ?? 72 ?? ?? ?? ?? ?? 6F ?? ?? ?? ?? ?? } condition: uint16(0) == 0x5A4D and filesize >= 5KB and pe.imports("mscoree.dll") and all of them }
Някои напомняния за отблъскване на уязвимостта на Citrix NetScaler CVE-2023-4966
Сливането на тези открития подчертава належащата необходимост организациите да приемат комплексен подход към реагиране на инциденти. Простото прилагане на наличните актуализации за сигурността е недостатъчно за справяне със съществуващите нарушения. Фактът, че е от съществено значение да се затворят всички активни сесии, за да не останат експлоатируеми, просто не може достатъчно да бъде подчертан. Пълноценният отговор е задължителен, за да се сдържи нарушението, да се оцени обхватът на компрометирането и, ако е необходимо, да се инициират стъпките, необходими за възстановяване на системата.
Ръководството за отстраняване на проблеми на Mandiant и другите публикации предлагат основни практически стъпки за организациите, които се справят с тези предизвикателни сценарии след експлоатация. Глобалните правителствени организации предават тези препоръки, предупреждения и процеси за защита в опит да сложат край на тези атаки.
TSplus Advanced Security - Най-добрата защита срещу Citrix Bleed и други атаки
Ние сме убедени в нашата 360° кибер защита, TSplus Advanced Security TSplus Advanced Security е непревзходимо защита на вашия бизнес и ИТ инфраструктура срещу тази заплаха и други. Действително, уязвимостите като Citrix Bleed exploit указват на неадекватността на киберсигурността в твърде много контексти и инфраструктури. Затова фирмите трябва да отдадат приоритет на комплексни решения, за да защитят своята ИТ инфраструктура и чувствителни данни. TSplus Advanced Security се явява като силен и всеобхватен отговор на тези належащи проблеми.
Този комплексен инструмент за сигурност предлага многостранен подход за гарантиране на защитата на ИТ системите, защитавайки ги от широка гама заплахи, включително експлоатации на ден нула, зловреден софтуер и неоторизиран достъп.
TSplus Advanced Security като част от цялостен софтуерен пакет за отдалечен достъп
Един от ключовите ползи на TSplus Advanced Security Лежи във възможността си да укрепи инфраструктурата на вашата организация срещу уязвимости като CVE-2023-4966, които имат далечностоящо въздействие. Той позволява на бизнесите да защитят своите системи, като предотвратяват неоторизиран достъп и ефективно намаляват киберсигурностните заплахи.
Освен това, по-широкият софтуерен пакет на TSplus предлага неоценими функции, които допълват TSplus Advanced Security. Подобно на четирите основни точки, имаме четири стълба към дистанционна мрежа: сигурност, достъп, наблюдение и поддръжка.
TSplus Дистанционен достъп за затваряне на сесия и детайлен мениджмънт
Първоначално, TSplus Remote Access , така че включва параметри за отписване на сесия, които подобряват сигурността, като гарантират, че потребителските сесии се завършват правилно. Това намалява риска от неоторизиран достъп. Тази функционалност е от съществено значение за справяне с корелирани проблеми, като тези, предизвикани от експлоатацията на инцидента Citrix Bleed. Като се гарантира, че няма сесионни токени, които продължават да съществуват, дори след пачване, тя осигурява допълнителен слой защита.
TSplus Сървърно наблюдение за наблюдение на сървъри и потребителски сесии
Освен това TSplus Сървърно наблюдение е незаменим инструмент за организации. Наистина, той ви позволява да наблюдавате здравето на техните сървъри и уебсайтове в реално време. В контекста на уязвимостите като Citrix Bleed или подобни, Мониторингът на сървъри позволява бързо идентифициране на проблеми, което от своя страна прави по-лесно инициирането на своевременно отстраняване на проблемите. Този превантивен подход е от съществено значение за поддържането на цялостта на ИТ системите и предотвратяването на нарушения.
TSplus Дистанционна поддръжка за далечен контрол, отстраняване на проблеми и обучение
Накрая TSplus Remote Support Играе ключова роля в справянето с предизвикателствата в киберсигурността. Той улеснява отдалечена помощ и ненаблюдавано вмешателство при всяко ИТ проблем, гарантирайки бързо решение и намаляване на рисковете, свързани с текущите уязвимости. Независимо дали става въпрос за отстраняване на уязвимост в Citrix или справяне с всяко друго ИТ притеснение, TSplus Remote Support дава възможност на организациите да реагират бързо, ефективно и сигурно, от всяко място.
Като заключение за уязвимостта на Citrix Bleed CVE-2023-4966, която продължава да съществува въпреки поправките.
В обобщение, TSplus Advanced Security е страхотен инструмент срещу такива уязвимости. И в комбинация с останалата софтуерна суита, тя формира здрава линия защита срещу киберсигурностни заплахи от всякакъв вид, както и предлага грануларно управление, мониторинг в реално време и бързи възможности за реакция. Какво друго може да поискате, за да защитите вашите ИТ инфраструктури и да осигурите чувствителните данни на компанията.
Независимо дали искате да защитите информационната технология на компанията си срещу кибер атаки или искате да замените Citrix изцяло, свържете се днес по телефона, имейл или чрез нашия уебсайт и получете вашата оферта или пробен период за секунди или само с няколко клика.
)
)
)
