)
)
)
)
Cara untuk Mengamankan Port RDP
Artikel ini memberikan pandangan mendalam tentang mengamankan port RDP anda, disesuaikan untuk profesional IT yang mahir dengan teknologi.
)
)
Berita siber terdiri daripada cerita-cerita yang semakin menakutkan dan mengkhawatirkan daripada sebelumnya, tema yang sesuai untuk penghujung Oktober. Citrix Bleed tidak terkecuali. Selepas kelemahan sebelum ini dan penambalan pada awal musim panas, Citrix telah menjadi tajuk utama sepanjang musim luruh ini dengan berita mengenai penembusan ke rangkaian korporat besar dan kerajaan. Inilah bagaimana kelemahan Citrix Bleed CVE-2023-4966 menyebabkan malam yang tidak nyenyak di beberapa bidang, cadangan yang berikutnya dan penyelesaian serta perlindungan kami sendiri untuk melindungi infrastruktur jauh anda daripada bahaya sedemikian. Berita ini tidak semuanya buruk.
Citrix NetScaler ADC dan NetScaler Gateway di bawah api
Citrix Bleed, satu bug pendedahan maklumat penting yang mempengaruhi NetScaler ADC dan NetScaler Gateway, telah mengalami "penggunaan secara meluas," dengan ribuan pelayan Citrix yang rentan masih online walaupun kemas kini pada 10 Oktober. Sejak itu, gelombang berterusan berita telah mengingatkan kita bahawa kelemahan ini masih membenarkan penyerang untuk mengakses ingatan peranti yang terdedah. Di sana, serangan mengekstrak token sesi untuk akses tanpa kebenaran, walaupun selepas kemas kini telah dilaksanakan.
Geng Ransomware telah mengeksploitasi kelemahan ini dan Mandiant sedang mengesan pelbagai kumpulan yang menyerang pelbagai sektor secara global. Kerajaan AS telah mengklasifikasikannya sebagai kelemahan yang dieksploitasi secara tidak diketahui. Mandiant yang dimiliki oleh Google menekankan keperluan untuk menghentikan semua sesi aktif untuk pengurangan risiko yang berkesan. Kebocoran telah dieksploitasi sejak akhir Ogos, dengan penjenayah menggunakannya untuk pengintipan siber. Pelaku ancaman kewangan dijangka akan mengeksploitasi, jadi lebih penting untuk menghentikan Citrix Bleed sebelum terlambat.
CVE-2023-4966 Kerentanan Berterusan Walaupun Diperbaiki
Nampaknya, pada 30 Oktober, lebih daripada 5,000 pelayan rentan dibiarkan terdedah di internet awam. GreyNoise mengesan 137 alamat IP individu yang cuba mengeksploitasi kelemahan Citrix ini dalam tempoh seminggu yang lepas. Walaupun pendedahan segera Citrix dan penerbitan patch (CVE-2023-4966) pada 10 Oktober, situasi tersebut meningkat dengan cepat. Walaupun patch telah dipasang, token sesi masih wujud, meninggalkan sistem rentan kepada pengeksploitasi. Keterukan situasi ini ditekankan oleh fakta bahawa, seperti yang ditakuti, kumpulan ransomware telah melompat pada peluang untuk mengeksploitasi kelemahan ini, mengedarkan skrip python untuk mengautomatikkan rantaian serangan.
Alat dan Langkah-langkah yang Direncanakan Secara Strategik untuk Serangan
Serangan ini telah menunjukkan sifat yang pelbagai seiring dengan perkembangannya melebihi pengeksploitasi awal. Penyerang nampaknya pada mulanya terlibat dalam pengintipan rangkaian. Namun, matlamat jelas telah diperluaskan kepada pencurian kelayakan akaun penting dan pergerakan lateral melalui rangkaian yang terjejas. Dalam fasa ini, mereka menggunakan set alat yang pelbagai, menunjukkan pendekatan yang teratur kepada aktiviti jahat mereka.
Mereka yang terlibat dalam kempen ini telah menunjukkan tahap kecekapan yang tinggi dalam pendekatan mereka, menggunakan pelbagai alat dan teknik untuk mencapai matlamat mereka. Penyerang menggunakan permintaan HTTP GET yang direka khas untuk memaksa peranti Citrix mendedahkan kandungan memori sistem, termasuk kuki sesi Netscaler AAA yang sah. Ini membolehkan mereka mengelakkan pengesahan dua faktor, menjadikan serangan mereka lebih berbahaya.
Perhatikan Kombinasi Alat Khusus
Satu alat yang mencolok dalam senjata mereka adalah FREEFIRE, sebuah backdoor .NET ringan yang baru menggunakan Slack untuk kawalan dan kawalan. Ini adalah satu-satunya alat yang tidak biasa dalam senjata. Serangan menggunakan banyak proses standard dan asli, dengan tambahan akses desktop jauh dan alat pengurusan Atera, AnyDesk dan SplashTop. Ini menunjukkan betapa sukarnya penjenayah bekerja untuk kekal tidak kelihatan kepada pengesanan. Memang, walaupun secara individu, alat-alat ini biasanya terdapat dalam persekitaran perniagaan yang sah, hanya penyebaran gabungan oleh pelaku ancaman yang berfungsi sebagai bendera merah yang signifikan. Melainkan perisian keselamatan dan pasukan anda sedang memerhatikan gabungan ini yang menunjukkan kompromi, ia akan luput dari perhatian.
Berikut adalah senarai alat yang digunakan oleh penggodam untuk mendapatkan maklumat sesi dan bergerak secara mendatar melalui rangkaian (serta tujuan mereka seperti yang diterangkan oleh Bleeping Computer):
- net.exe – Pengintipan Active Directory (AD);
- netscan.exe - pengangkaian rangkaian dalaman;
- 7-zip - cipta arkib segmen yang dienkripsi untuk memampatkan data pengintipan;
- certutil - kod (base64) dan dekod fail data serta menyebarkan pintu belakang;
- e.exe dan d.dll - muat masuk ke dalam memori proses LSASS dan cipta fail memori dump;
- sh3.exe - jalankan perintah Mimikatz LSADUMP untuk pengeluaran kelayakan;
- FREEFIRE - novel ringan .NET backdoor menggunakan Slack untuk arahan dan kawalan;
- Atera - Pemantauan dan pengurusan jarak jauh;
- AnyDesk – Desktop jauh;
- SplashTop – Desktop jauh.
Seperti yang anda mungkin bersetuju, tidak banyak perkara yang tidak wajar kecuali jika anda mendapati semuanya digabungkan. Kecuali satu, iaitu: FREEFIRE.
FREEFIRE khususnya Digunakan oleh Penyusup dalam Citrix Bleed
Perlu diperhatikan bahawa sementara beberapa alat ini biasanya terdapat dalam persekitaran perniagaan, penggunaan bersama mereka dalam kempen-kempen ini adalah petunjuk yang kuat mengenai pelanggaran. Mandiant telah mengeluarkan peraturan Yara yang digunakan untuk mengesan kehadiran FREEFIRE pada peranti. Alat ini sangat berharga dalam membantu organisasi mengenal pasti sistem yang telah dikompromi dan mengambil tindakan dengan cepat untuk mengurangkan risiko.
Di bawah, anda boleh mencari peraturan Yara untuk mengesan FREEFIRE. Walaubagaimanapun, jika anda ingin mengesahkan peraturan Yara di sana atau membaca teknik MITRE ATT&CK, tutup artikel Mandiant tersebut. Di sana, anda juga boleh mencari pautan mereka ke panduan "Citrix NetScaler ADC/Gateway: Penyelesaian CVE-2023-4966" Mandiant dalam format PDF.
Peraturan Yara Mandiant untuk Memburu FREEFIRE dalam Konteks Citrix Bleed
)
Dan peraturan sebagai teks:
Yara Rule: import “pe” rule M_Hunting_Backdoor_FREEFIRE { meta: author = "Mandiant" description = "This is a hunting rule to detect FREEFIRE samples using OP code sequences in getLastRecord method" md5 = "eb842a9509dece779d138d2e6b0f6949" malware_family = "FREEFIRE" strings: $s1 = { 72 ?? ?? ?? ?? 7E ?? ?? ?? ?? 72 ?? ?? ?? ?? 28 ?? ?? ?? ?? 28 ?? ?? ?? ?? 74 ?? ?? ?? ?? 25 72 ?? ?? ?? ?? 6F ?? ?? ?? ?? 25 72 ?? ?? ?? ?? 6F ?? ?? ?? ?? 25 6F ?? ?? ?? ?? 72 ?? ?? ?? ?? 72 ?? ?? ?? ?? 7E ?? ?? ?? ?? 28 ?? ?? ?? ?? 6F ?? ?? ?? ?? 6F ?? ?? ?? ?? 74 ?? ?? ?? ?? 25 6F ???? ?? ?? 73 ?? ?? ?? ?? 6F ?? ?? ?? ?? ?? 6F ?? ?? ?? ?? 7E ?? ?? ?? ?? ?? 6F ?? ?? ?? ?? 72 ?? ?? ?? ?? ?? 6F ?? ?? ?? ?? ?? } condition: uint16(0) == 0x5A4D and filesize >= 5KB and pe.imports("mscoree.dll") and all of them }
Beberapa Peringatan untuk Menangkal Kerentanan Citrix NetScaler CVE-2023-4966
Konvergensi temuan ini menyoroti keperluan mendesak bagi organisasi untuk mengadopsi pendekatan respons insiden yang komprehensif. Hanya menerapkan pembaruan keamanan yang tersedia tidak mencukupi dalam menangani pelanggaran yang ada. Fakta bahwa penting untuk menutup semua sesi aktif agar tidak dapat dieksploitasi tidak dapat cukup ditekankan. Respons yang lengkap diperlukan untuk mengendalikan pelanggaran, menilai sejauh mana kompromi, dan jika perlu memulai langkah-langkah yang diperlukan untuk pemulihan sistem.
Panduan pemulihan Mandiant dan penerbitan lain menawarkan langkah-langkah praktikal penting untuk organisasi yang menavigasi skenario pengeksploitasi pasca yang mencabar ini. Organisasi kerajaan di seluruh dunia sedang menyampaikan cadangan, amaran, dan proses perlindungan ini dalam usaha untuk menghentikan serangan ini.
TSplus Advanced Security - Perlindungan Terbaik Menentang Citrix Bleed dan Serangan Lain
Kami yakin perlindungan siber 360° kami, TSplus Advanced Security TSplus Advanced Security adalah tidak tertandingi untuk melindungi perniagaan dan infrastruktur IT anda daripada ancaman ini dan yang lain. Memang, kelemahan seperti pengeksploitasi Citrix Bleed menunjukkan ketidakcukupan keselamatan siber dalam terlalu banyak konteks dan infrastruktur. Oleh itu, perniagaan harus memberi keutamaan kepada penyelesaian menyeluruh untuk melindungi infrastruktur IT dan data sensitif mereka. TSplus Advanced Security berdiri sebagai jawapan yang kukuh dan menyeluruh kepada kebimbangan mendesak ini.
Alat keselamatan komprehensif ini menawarkan pendekatan serba boleh untuk memastikan perlindungan sistem IT, melindungi daripada pelbagai ancaman, termasuk pengeksploitasi hari sifar, perisian hasad dan akses tidak dibenarkan.
TSplus Advanced Security sebagai Sebahagian daripada Suite Perisian Jauh yang Komprehensif
Salah satu manfaat utama TSplus Advanced Security keupayaannya untuk memperkuat infrastruktur IT organisasi anda daripada kelemahan seperti CVE-2023-4966, yang mempunyai kesan yang jauh. Ia membolehkan perniagaan untuk mengamankan sistem mereka dengan mencegah akses yang tidak dibenarkan dan secara berkesan mengurangkan ancaman keselamatan siber.
Selain itu, rangkaian perisian TSplus yang lebih luas menawarkan ciri-ciri yang sangat berharga yang melengkapi Keselamatan Lanjutan TSplus. Sama seperti empat mata angin, kami mempunyai empat tiang kepada rangkaian jauh: keselamatan, akses, pemantauan dan sokongan.
TSplus Remote Access untuk Logoff Sesi dan Pengurusan Granular
Pertama sekali, TSplus Remote Access Ini termasuk parameter logoff sesi yang meningkatkan keselamatan dengan memastikan sesi pengguna ditamatkan dengan betul. Terutamanya, ini mengurangkan risiko akses tidak dibenarkan. Ciri ini penting dalam menangani isu berkaitan seperti yang ditimbulkan oleh insiden Citrix Bleed. Dengan memastikan tiada token sesi berterusan, walaupun selepas penambalan, ia memberikan lapisan perlindungan tambahan.
Pemantauan Pelayan TSplus untuk Pengawasan Pelayan dan Sesi Pengguna
Selain itu, Pemantauan Server TSplus adalah alat yang tidak boleh dipisahkan bagi organisasi. Memang, ia membolehkan anda untuk memantau kesihatan pelayan dan laman web mereka secara langsung. Dalam konteks Kerentanan Citrix Bleed atau seumpamanya, Pemantauan Pelayan membolehkan pengenalpastian masalah dengan cepat, dengan memudahkan pelaksanaan penyelesaian masalah dan pemulihan tepat pada masanya. Pendekatan proaktif ini adalah penting untuk mengekalkan integriti sistem IT dan mencegah pelanggaran.
TSplus Sokongan Jauh untuk Kawalan Jauh, Membaiki dan Latihan
Akhir sekali TSplus Remote Support memainkan peranan penting dalam menangani cabaran keselamatan siber. Ia memudahkan bantuan jarak jauh dan campur tangan tanpa had untuk sebarang isu IT, memastikan penyelesaian yang cepat dan mengurangkan risiko yang berkaitan dengan kelemahan yang berterusan. Sama ada menyelesaikan kerentanan Citrix atau menangani sebarang kebimbangan IT lain, Sokongan Jauh TSplus memberi kuasa kepada organisasi untuk bertindak dengan cepat, berkesan dan dengan selamat, dari mana-mana sahaja.
Sebagai Kesimpulan kepada Kerentanan Citrix Bleed CVE-2023-4966 Terlalu Lama Berada Walaupun Diperbaiki
Secara ringkas, Keselamatan Lanjutan TSplus adalah alat yang hebat untuk melawan kelemahan tersebut. Dan, dalam kombinasi dengan sisa rangkaian perisian, ia membentuk satu barisan pertahanan yang kukuh terhadap ancaman siber dari pelbagai jenis serta menawarkan pengurusan yang teliti, pemantauan secara langsung dan keupayaan tindak balas yang cepat. Apa lagi yang anda boleh minta untuk mengamankan infrastruktur IT anda dan melindungi data sensitif syarikat.
Sama ada anda ingin melindungi infrastruktur IT syarikat anda daripada serangan siber atau ingin menggantikan Citrix secara keseluruhan, hubungi kami hari ini melalui telefon, emel atau melalui laman web kami dan dapatkan sebut harga atau percubaan anda dalam beberapa saat atau beberapa klik.
)
)
)
