)
)
)
)
RDP 포트를 안전하게 하는 방법
이 기사는 기술에 능통한 IT 전문가를 위해 맞춤화된 RDP 포트 보안에 대한 심층적인 탐구를 제공합니다.
)
)
사이버 뉴스는 이전 것보다 더 무서운 이야기로 이루어져 있으며, 10월 말에 적합한 주제입니다. Citrix Bleed도 예외는 아닙니다. 지난 여름 이전 취약점과 패치 이후, Citrix는 대기업 및 정부 네트워크로의 침입에 대한 뉴스로 이번 가을 대부분의 헤드라인을 선점하고 있습니다. Citrix Bleed 취약점 CVE-2023-4966이 일부 분야에서 불면증을 유발하고 있는 방법, 추천 사항 및 이러한 위험에 대한 원격 인프라를 보호하기 위한 우리 자체 솔루션 및 보호에 대한 소식입니다. 뉴스가 모두 나쁜 것은 아닙니다.
Citrix NetScaler ADC 및 NetScaler Gateway가 비판을 받고 있습니다.
Citrix Bleed, NetScaler ADC 및 NetScaler Gateway에 영향을 미치는 중요한 정보 노출 버그가 "대규모 악용"으로 발생하여 10월 10일 패치가 출시되었음에도 수천 대의 취약한 Citrix 서버가 여전히 온라인 상태입니다. 그 이후로 정기적인 뉴스의 파도가 취약점이 여전히 공격자가 노출된 장치의 메모리에 액세스할 수 있도록 허용하고 있음을 상기시켜주었습니다. 거기서 공격은 패치가 적용된 후에도 미인가된 액세스를 위해 세션 토큰을 추출합니다.
랜섬웨어 그룹들이 이 취약점을 악용해 왔으며, Mandiant는 전 세계 다양한 부문을 대상으로 하는 여러 그룹을 추적하고 있습니다. 미국 정부는 이를 알려지지 않은 악용된 취약점으로 분류했습니다. Google 소유의 Mandiant는 효과적인 완화를 위해 모든 활성 세션을 종료해야 한다고 강조했습니다. 이 버그는 8월 말부터 악용되어 왔으며, 범죄자들이 사이버 스파이 작업에 사용하고 있습니다. 금융 위협 행위자들이 악용할 것으로 예상되므로, 너무 늦기 전에 Citrix Bleed를 중단하는 것이 더욱 중요합니다.
CVE-2023-4966 취약점 패치에도 불구하고 계속 발생 중
10월 30일 기준으로, 5,000대 이상의 취약한 서버가 공개 인터넷에 노출되어 있는 것으로 보입니다. GreyNoise는 지난 주 동안 137개의 개별 IP 주소가 이 Citrix 취약점을 악용하려고 시도했다고 관찰했습니다. Citrix가 10월 10일에 CVE-2023-4966 패치를 발표하고 즉각 공개했음에도 불구하고, 상황은 급속하게 악화되었습니다. 패치를 적용한 후에도 세션 토큰이 지속되어 시스템이 악용될 수 있는 취약성이 남아 있었습니다. 상황의 심각성은 우려되었던 대로, 랜섬웨어 크루들이 이 취약점을 악용하기 위해 기회를 노리고 있으며, 이에 자동화된 공격 체인을 위한 파이썬 스크립트를 배포하고 있다는 사실에 강조되고 있습니다.
전략적으로 계획된 도구 및 공격 단계
이러한 공격은 초기 악용을 넘어 진화함에 따라 다면적인 성격을 취했습니다. 공격자들은 처음에 네트워크 정찰에 참여한 것으로 보였습니다. 그러나 목표는 분명히 중요한 계정 자격 증명의 도난으로 확장되었으며, 감염된 네트워크를 통해 측면 이동을 보였습니다. 이 단계에서 그들은 악의적인 활동에 대한 잘 조직된 접근 방식을 보여주는 다양한 도구를 사용했습니다.
이러한 캠페인 뒤에 있는 사람들은 접근 방식에서 높은 수준의 세련미를 보여 주며 목표를 달성하기 위해 다양한 도구와 기술을 사용했습니다. 공격자들은 특별히 제작된 HTTP GET 요청을 사용하여 Citrix 장치가 시스템 메모리 콘텐츠를 공개하도록 강제했으며, 유효한 Netscaler AAA 세션 쿠키를 포함했습니다. 이로 인해 그들은 다단계 인증을 우회하여 침입을 더욱 음흉하게 만들었습니다.
특정 도구 조합에 주의하세요.
그들의 무기 중 하나인 FREEFIRE은 Slack을 사용하여 명령 및 제어를 위한 혁신적인 가벼운 .NET 백도어입니다. 이것은 무기 중 유일한 이례적인 도구입니다. 공격은 많은 표준 및 네이티브 프로세스를 활용했으며, 또한 일반적인 원격 데스크톱 액세스 및 관리 도구인 Atera, AnyDesk 및 SplashTop을 추가로 사용했습니다. 이는 해커들이 탐지를 피하기 위해 얼마나 열심히 노력했는지 보여줍니다. 실제로, 이 도구들은 개별적으로는 주로 합법적인 기업 환경에서 발견되지만, 위협 요소들에 의해 결합 배치된 경우에만 중요한 경고 신호로 작용합니다. 보안 소프트웨어 및 팀이 이러한 절충의 표시를 주시하지 않는 한, 이는 감지되지 않을 것입니다.
해커들이 세션 정보를 검색하고 네트워크를 수평으로 이동하는 데 사용해온 도구 목록입니다 (Bleeping Computer에 의해 설명된 목적 포함):
- net.exe 활성 디렉터리 (AD) 정찰;
- netscan.exe - 내부 네트워크 열거;
- 7-zip - 암호화된 분할 아카이브를 생성하여 정찰 데이터를 압축합니다.
- certutil - 데이터 파일을 인코딩 (base64)하고 디코딩하며 배후문을 배포합니다.
- e.exe 와 d.dll LSASS 프로세스 메모리로 로드하고 메모리 덤프 파일을 생성합니다.
- sh3.exe - Mimikatz LSADUMP 명령을 실행하여 자격 증명을 추출하십시오.
- FREEFIRE - 새로운 경량 .NET 백도어를 사용하여 슬랙을 통해 명령 및 제어를 수행합니다.
- Atera 원격 모니터링 및 관리;
- AnyDesk 원격 데스크톱;
- SplashTop – 원격 데스크톱.
당신이 아마 동의할 것처럼, 그들이 모두 결합되어 있는 것을 제외하고는 별다른 것이 없습니다. 하나를 제외하고는: FREEFIRE.
특히 Citrix Bleed에서 해커들이 사용하는 FREEFIRE
이러한 도구 중 일부는 기업 환경에서 흔히 발견되지만, 이러한 캠페인에서의 결합 사용은 침해의 강력한 지표입니다. Mandiant는 심지어 기기에서 FREEFIRE의 존재를 감지하는 데 사용되는 Yara 규칙을 공개했습니다. 이 도구는 조직이 침해된 시스템을 선제적으로 식별하고 위험을 완화하기 위해 신속히 조치를 취하는 데 특히 가치가 있습니다.
아래에서는 FREEFIRE를 감지하는 Yara 규칙을 찾을 수 있습니다. 그러나 Yara 규칙을 확인하거나 MITRE ATT&CK 기술을 읽고 싶다면, Mandiant 기사를 닫으십시오. 거기에서 Mandiant의 "Citrix NetScaler ADC/Gateway: CVE-2023-4966 Remediation" 가이드 PDF 링크도 찾을 수 있습니다.
Mandiant의 Yara 규칙은 Citrix Bleed 문맥에서 FREEFIRE를 추적합니다.
)
그리고 규칙은 텍스트로 되어 있습니다.
Yara Rule: import “pe” rule M_Hunting_Backdoor_FREEFIRE { meta: author = "Mandiant" description = "This is a hunting rule to detect FREEFIRE samples using OP code sequences in getLastRecord method" md5 = "eb842a9509dece779d138d2e6b0f6949" malware_family = "FREEFIRE" strings: $s1 = { 72 ?? ?? ?? ?? 7E ?? ?? ?? ?? 72 ?? ?? ?? ?? 28 ?? ?? ?? ?? 28 ?? ?? ?? ?? 74 ?? ?? ?? ?? 25 72 ?? ?? ?? ?? 6F ?? ?? ?? ?? 25 72 ?? ?? ?? ?? 6F ?? ?? ?? ?? 25 6F ?? ?? ?? ?? 72 ?? ?? ?? ?? 72 ?? ?? ?? ?? 7E ?? ?? ?? ?? 28 ?? ?? ?? ?? 6F ?? ?? ?? ?? 6F ?? ?? ?? ?? 74 ?? ?? ?? ?? 25 6F ???? ?? ?? 73 ?? ?? ?? ?? 6F ?? ?? ?? ?? ?? 6F ?? ?? ?? ?? 7E ?? ?? ?? ?? ?? 6F ?? ?? ?? ?? 72 ?? ?? ?? ?? ?? 6F ?? ?? ?? ?? ?? } condition: uint16(0) == 0x5A4D and filesize >= 5KB and pe.imports("mscoree.dll") and all of them }
Citrix NetScaler 취약점 CVE-2023-4966을 방어하기 위한 몇 가지 알림
이러한 결과의 수렴은 기업이 포괄적 사고 대응 방식을 채택해야 하는 절박함을 강조합니다. 사용 가능한 보안 업데이트를 단순히 적용하는 것만으로는 기존 침해 사항을 해결하는 데 충분하지 않습니다. 모든 활성 세션을 닫는 것이 중요하며, 그렇지 않으면 그들이 악용될 수 있음을 충분히 강조할 수 없습니다. 침해를 억제하고 침해 범위를 평가하며 필요한 경우 시스템 복원을 위한 단계를 취하는 것이 절대적으로 필요합니다.
Mandiant의 복구 가이드 및 기타 출판물은 이러한 어려운 사후 침투 시나리오를 탐색하는 기관들을 위한 필수적인 실용적인 단계를 제공합니다. 정부 기관들은 전 세계적으로 이러한 공격을 중단시키기 위해 이러한 권고 사항, 경고 및 안전 프로세스를 전달하고 있습니다.
TSplus 고급 보안 - Citrix 블리드 및 기타 공격에 대한 최고의 보호
우리는 360° 사이버 보호가 확신됩니다. TSplus 고급 보안 , 이는 귀사의 비즈니스 및 IT 인프라를 이러한 위협 및 기타 위협으로부터 보호하는 데 무적입니다. 실제로 Citrix Bleed 취약점과 같은 취약점은 너무 많은 맥락과 인프라에서 사이버 보안의 부적절함을 가리킵니다. 따라서 기업은 IT 인프라와 민감한 데이터를 보호하기 위해 포괄적인 솔루션에 우선순위를 두어야 합니다. TSplus Advanced Security는 이러한 긴급한 문제에 대한 강력하고 포괄적인 대답으로 자리 잡고 있습니다.
이 포괄적인 보안 도구는 IT 시스템의 보호를 보장하기 위해 다양한 방법을 제공하며, 제로데이 공격, 악성 소프트웨어 및 무단 액세스와 같은 다양한 위협으로부터 방어합니다.
TSplus 고급 보안은 전체적인 원격 소프트웨어 스위트의 일부로 제공됩니다.
중요한 혜택 중 하나 TSplus 고급 보안 조직의 IT 인프라를 CVE-2023-4966과 같은 취약점으로부터 강화하는 능력에 있습니다. 이는 미인가된 액세스를 방지하고 사이버 보안 위협을 효과적으로 완화함으로써 기업이 시스템을 안전하게 보호할 수 있도록 합니다.
또한, TSplus 소프트웨어 스위트는 TSplus 고급 보안을 보완하는 귀중한 기능을 제공합니다. 네 기둥은 보안, 액세스, 모니터링 및 지원과 같이 원격 네트워크에 대한 네 가지 중요한 요소입니다.
TSplus 원격 액세스를 통한 세션 로그오프 및 세밀한 관리
먼저, TSplus 원격 액세스 사용자 세션을 올바르게 종료하여 보안을 강화하는 세션 로그오프 매개변수를 포함합니다. 이는 무단 액세스의 위험을 줄이는 데 중요하며, Citrix Bleed 사건의 악용으로 인한 문제와 같은 관련 문제를 해결하는 데 중요합니다. 패치 후에도 세션 토큰이 지속되지 않도록 보장함으로써 추가적인 보호층을 제공합니다.
TSplus 서버 모니터링을 통한 서버 및 사용자 세션 감시
추가로 TSplus 서버 모니터링 조직에게 꼭 필요한 도구입니다. 실시간으로 서버와 웹 사이트의 상태를 모니터링할 수 있도록 해줍니다. Citrix Bleed나 유사한 취약점과 관련하여, 서버 모니터링은 문제를 신속하게 식별할 수 있게 해주어 즉각적인 문제 해결과 개선을 용이하게 합니다. 이 적극적인 접근은 IT 시스템의 무결성을 유지하고 침해를 방지하는 데 중요합니다.
TSplus 원격 지원을 통한 원격 제어, 수리 및 교육
마지막으로 TSplus 원격 지원 사이버 보안 문제를 해결하는 데 중요한 역할을 합니다. IT 문제에 대한 원격 지원 및 무인 개입을 용이하게하며 신속한 해결을 보장하고 지속적인 취약성과 관련된 위험을 최소화합니다. Citrix 취약성을 해결하거나 다른 IT 문제를 다루는 경우에도 TSplus 원격 지원은 조직이 어디에서나 빠르고 효과적이며 안전하게 대응할 수 있도록 돕습니다.
Citrix Bleed 취약점 CVE-2023-4966에 대한 결론으로 패치를 한 후에도 환영받지 못한 상태입니다.
요약하면, TSplus Advanced Security는 그러한 취약점에 대항하는 훌륭한 도구입니다. 그리고, 소프트웨어 스위트의 나머지 부분과 결합하여 모든 종류의 사이버 보안 위협에 대한 견고한 방어 라인을 형성하며, 세밀한 관리, 실시간 모니터링 및 신속한 대응 능력을 제공합니다. IT 인프라를 안전하게 보호하고 민감한 회사 데이터를 보호하기 위해 더 무엇을 요청할 수 있을까요.
회사의 IT 인프라를 사이버 공격으로부터 보호하거나 Citrix를 완전히 대체하고 싶은지 여부에 관계없이, 오늘 전화, 이메일 또는 웹사이트를 통해 연락해 주세요. 그리고 견적이나 시험을 몇 초 안에 또는 몇 번의 클릭으로 받으세요.
)
)
)
