)
)
)
)
如何保护RDP端口
本文深入探讨了如何保护您的RDP端口,专为技术精通的IT专业人员量身定制。
)
)
网络新闻由一个个比前一个更令人恐惧和担忧的故事组成,这是十月底的一个合适主题。Citrix Bleed也不例外。在夏初的前一个漏洞和修补之后,Citrix在这个秋天的大部分时间里一直因进入大型企业和政府网络的新闻而成为头条新闻。以下是Citrix Bleed漏洞CVE-2023-4966如何在某些领域引起不眠之夜,随之而来的建议以及我们自己的解决方案和保护措施,以防止您的远程基础设施受到此类危险的侵害。消息并非全是坏的。
Citrix NetScaler ADC 和 NetScaler Gateway 遭受攻击
Citrix Bleed,一个影响 NetScaler ADC 和 NetScaler Gateway 的严重信息泄露漏洞,一直处于“大规模利用”状态,尽管在 10 月 10 日发布了补丁,但仍有数千台易受攻击的 Citrix 服务器在线。从那时起,定期的新闻提醒我们,该漏洞仍然允许攻击者访问暴露设备的内存。在那里,攻击会提取会话令牌以进行未经授权的访问,即使补丁已应用。
勒索软件团伙一直在利用这一漏洞,Mandiant正在追踪多个针对全球各个行业的团伙。美国政府已将其归类为未知的被利用漏洞。谷歌旗下的Mandiant强调需要终止所有活动会话以有效缓解。自八月底以来,该漏洞已被利用,犯罪分子将其用于网络间谍活动。预计金融威胁行为者也会利用这一漏洞,因此在为时已晚之前阻止Citrix Bleed尤为重要。
尽管进行了修补,CVE-2023-4966漏洞仍在继续
截至10月30日,已有超过5000台易受攻击的服务器暴露在公共互联网中。GreyNoise观察到137个独立IP地址在过去一周内试图利用此Citrix漏洞。尽管Citrix在10月10日迅速披露并发布了补丁(CVE-2023-4966),但情况迅速升级。即使在应用补丁后,会话令牌仍然存在,使系统易受攻击。令人担忧的是,正如所担心的那样,勒索软件团伙抓住了这一漏洞的机会,分发python脚本以自动化攻击链。
精心策划的攻击工具和步骤
这些攻击在超越最初的利用后,呈现出多方面的性质。攻击者最初似乎从事网络侦察。然而,目标显然已经扩展到窃取关键账户凭证,并显示出在受感染网络中的横向移动。在这个阶段,他们使用了多种工具,展示了对其恶意活动的精心策划。
这些活动背后的人在他们的方法中表现出高度的复杂性,使用了各种工具和技术来实现他们的目标。攻击者使用特制的HTTP GET请求迫使Citrix设备泄露系统内存内容,包括有效的Netscaler AAA会话cookie。这使他们能够绕过多因素认证,使他们的入侵更加隐蔽。
注意特定工具组合
他们武器库中一个显著的工具是FREEFIRE,这是一种使用Slack进行命令和控制的新型轻量级.NET后门程序。这是武器库中唯一不寻常的工具。攻击利用了许多标准和本地进程,此外还使用了常见的远程桌面访问和管理工具Atera、AnyDesk和SplashTop。这表明黑客为了保持隐形检测所做的努力。确实,虽然这些工具单独存在时通常在合法的企业环境中发现,但只有威胁行为者的组合部署才是一个显著的危险信号。除非您的安全软件和团队在关注这种表明妥协的组合,否则它将被忽视。
以下是黑客用来检索会话信息并横向移动通过网络的工具列表(以及Bleeping Computer描述的用途):
- net.exe – Active Directory (AD) 侦察
- netscan.exe – 内部网络枚举
- 7-zip 创建加密分段存档以压缩侦察数据
- certutil – 编码(base64)和解码数据文件并部署后门;
- e.exe 和 d.dll 加载到LSASS进程内存并创建内存转储文件;
- sh3.exe 运行 Mimikatz LSADUMP 命令以提取凭证;
- FREEFIRE – 新型轻量级 .NET 后门程序使用 Slack 进行指挥和控制
- Atera – 远程监控和管理
- AnyDesk – 远程桌面
- SplashTop – 远程桌面。
正如你可能同意的,除非你发现它们全部被结合在一起,否则没什么不妥。除了一个,那就是:FREEFIRE。
黑客在 Citrix Bleed 中特别使用 FREEFIRE
值得注意的是,虽然这些工具中的一些通常在企业环境中找到,但它们在这些活动中的联合使用是违规的强烈指示。Mandiant 甚至发布了一条 Yara 规则,用于检测设备上 FREEFIRE 的存在。该工具在帮助组织主动识别受损系统并迅速采取行动以减轻风险方面特别有价值。
在下方,您可以找到检测FREEFIRE的Yara规则。不过,如果您希望在那里验证Yara规则或阅读MITRE ATT&CK技术,请关闭Mandiant文章。在那里,您还可以找到他们链接到Mandiant的“Citrix NetScaler ADC/Gateway: CVE-2023-4966修复”指南的PDF。
Mandiant的Yara规则在Citrix Bleed上下文中追捕FREEFIRE
)
并且规则为文本:
Yara Rule: import “pe” rule M_Hunting_Backdoor_FREEFIRE { meta: author = "Mandiant" description = "This is a hunting rule to detect FREEFIRE samples using OP code sequences in getLastRecord method" md5 = "eb842a9509dece779d138d2e6b0f6949" malware_family = "FREEFIRE" strings: $s1 = { 72 ?? ?? ?? ?? 7E ?? ?? ?? ?? 72 ?? ?? ?? ?? 28 ?? ?? ?? ?? 28 ?? ?? ?? ?? 74 ?? ?? ?? ?? 25 72 ?? ?? ?? ?? 6F ?? ?? ?? ?? 25 72 ?? ?? ?? ?? 6F ?? ?? ?? ?? 25 6F ?? ?? ?? ?? 72 ?? ?? ?? ?? 72 ?? ?? ?? ?? 7E ?? ?? ?? ?? 28 ?? ?? ?? ?? 6F ?? ?? ?? ?? 6F ?? ?? ?? ?? 74 ?? ?? ?? ?? 25 6F ???? ?? ?? 73 ?? ?? ?? ?? 6F ?? ?? ?? ?? ?? 6F ?? ?? ?? ?? 7E ?? ?? ?? ?? ?? 6F ?? ?? ?? ?? 72 ?? ?? ?? ?? ?? 6F ?? ?? ?? ?? ?? } condition: uint16(0) == 0x5A4D and filesize >= 5KB and pe.imports("mscoree.dll") and all of them }
防范Citrix NetScaler漏洞CVE-2023-4966的一些提醒
这些发现的汇聚突显了组织采用全面事件响应方法的迫切需要。仅仅应用可用的安全更新不足以解决现有的漏洞。必须充分强调关闭所有活动会话的重要性,否则它们将继续被利用。全面的响应对于遏制漏洞、评估妥协的程度以及在必要时启动系统恢复步骤是至关重要的。
Mandiant的补救指南和其他出版物为组织在应对这些具有挑战性的后利用场景时提供了必要的实用步骤。全球政府组织正在传达这些建议、警告和保护流程,以期阻止这些攻击。
TSplus Advanced Security - 针对 Citrix Bleed 和其他攻击的最佳保护
我们相信我们的360°网络保护 TSplus高级安全 无与伦比地保护您的业务和IT基础设施免受此威胁和其他威胁。确实,诸如Citrix Bleed漏洞等漏洞表明,网络安全在太多的环境和基础设施中都不够充分。因此,企业必须优先考虑全面的解决方案来保护其IT基础设施和敏感数据。TSplus Advanced Security是应对这些紧迫问题的强大且全面的解决方案。
这款综合安全工具提供多方面的方法来确保IT系统的保护,防御各种威胁,包括零日漏洞、恶意软件和未经授权的访问。
TSplus Advanced Security 作为整体远程软件套件的一部分
一项关键优势 TSplus高级安全 其优势在于加固您组织的IT基础设施,抵御像CVE-2023-4966这样具有深远影响的漏洞。它使企业能够通过防止未经授权的访问并有效地缓解网络安全威胁来保护其系统。
此外,更广泛的TSplus软件套件提供了补充TSplus Advanced Security的宝贵功能。与四个基本方向类似,我们有远程网络的四大支柱:安全、访问、监控和支持。
TSplus 远程访问用于会话注销和细粒度管理
首先 TSplus 远程访问 因此,包括会话注销参数,通过确保用户会话正确终止来增强安全性。最重要的是,这减少了未经授权访问的风险。此功能在解决由Citrix Bleed事件带来的相关问题时至关重要。通过确保即使在修补后也不会保留任何会话令牌,它提供了额外的保护层。
TSplus 服务器监控用于服务器和用户会话监控
另外 TSplus 服务器监控 是组织不可或缺的工具。确实,它使您能够实时监控其服务器和网站的健康状况。在Citrix Bleed或类似漏洞的情况下,服务器监控可以快速识别问题,从而更容易及时启动故障排除和修复。这种主动的方法对于维护IT系统的完整性和防止漏洞至关重要。
TSplus 远程支持用于远程控制、修复和培训
最后 TSplus 远程支持 在应对网络安全挑战方面发挥关键作用。它促进了远程协助和无人值守的干预,以解决任何IT问题,确保迅速解决并最大限度地减少与持续漏洞相关的风险。无论是排查Citrix漏洞还是解决其他IT问题,TSplus Remote Support都能使组织从任何地方快速、高效、安全地做出响应。
作为对 Citrix Bleed 漏洞 CVE-2023-4966 尽管已修补但仍然存在的结论
总之,TSplus Advanced Security 是对抗此类漏洞的一个很好的工具。 并且,与其他软件套件结合使用时,它形成了针对各种网络安全威胁的强大防线,同时提供细粒度管理、实时监控和快速响应能力。 您还能要求什么来保护您的IT基础设施和保障敏感的公司数据。
无论您是想保护公司IT基础设施免受网络攻击,还是想完全替换Citrix, 今天通过电话、电子邮件或我们的网站联系我们 并在几秒钟或几次点击内获取您的报价或试用。
)
)
)
