分析报告
MAR-10478915-1.v1 Citrix Bleed
发布日期:2023年11月21日
警报代码:AR23-325A
相关主题:网络威胁与咨询、恶意软件、网络钓鱼和勒索软件、事件检测、响应和预防
通知
本报告"按原样"提供,仅用于信息目的。国土安全部(DHS)对此处包含的任何信息不作任何明示或暗示的保证。DHS不认可本公告中引用的任何商业产品或服务。
本文档标记为TLP:CLEAR——接收方可以无限制地共享此信息。根据公共发布的适用规则和程序,当信息具有最小或不可预见的误用风险时,来源可以使用TLP:CLEAR。遵循标准版权规则,TLP:CLEAR信息可以无限制共享。
摘要
描述
针对最近披露的影响Citrix NetScaler ADC和NetScaler Gateway设备的CVE-2023-4966,CISA分析了四个文件,这些文件显示被用于保存注册表配置单元、将本地安全机构子系统服务(LSASS)进程内存转储到磁盘,以及尝试通过Windows远程管理(WinRM)建立会话。这些文件包括:
- Windows批处理文件(.bat)
- Windows可执行文件(.exe)
- Windows动态链接库(.dll)
- Python脚本(.py)
提交的文件(4个)
98e79f95cf8de8ace88bf223421db5dce303b112152d66ffdf27ebdfcdf967e9 (a.bat)
详细信息
- 名称:a.bat
- 大小:376字节
- 类型:DOS批处理文件,ASCII文本,带有CRLF行终止符
- MD5:52d5e2a07cd93c14f1ba170e3a3d6747
- SHA256:98e79f95cf8de8ace88bf223421db5dce303b112152d66ffdf27ebdfcdf967e9
描述
该文件是一个名为a.bat的Windows批处理文件,用于使用a.dll作为参数执行a.exe文件。输出被打印到路径C:\Windows\Tasks中名为'z.txt'的文件中。接下来,a.bat ping回环IP地址127.0.0[.]1三次。
它运行的下一个命令是reg save,将HKLM\SYSTEM注册表配置单元保存到C:\Windows\tasks\em目录中。再次,a.bat ping回环地址127.0.0[.]1一次,然后执行另一个reg save命令,并将HKLM\SAM注册表配置单元保存到C:\Windows\Task\am目录中。
接下来,a.bat运行三个makecab命令,从前面提到的已保存注册表配置单元和一个名为C:\Users\Public\a.png的文件创建三个Cabinet(.cab)文件。.cab文件的名称如下:
- c:\windows\tasks\em.cab
- c:\windows\tasks\am.cab
- c:\windows\tasks\a.cab
截图
图1 - 这是文件a.bat的完整内容。
e557e1440e394537cca71ed3d61372106c3c70eb6ef9f07521768f23a0974068 (a.exe)
标签:特洛伊木马
详细信息
- 名称:a.exe
- 大小:145920字节
- 类型:PE32+可执行文件(控制台)x86-64,用于MS Windows
- MD5:37f7241963cf8279f7c1d322086a5194
- SHA256:e557e1440e394537cca71ed3d61372106c3c70eb6ef9f07521768f23a0974068
描述
该文件是一个64位Windows命令行可执行文件,名为a.exe,由a.bat执行。此文件向RPC端点发出远程过程调用(RPC)ncalrpc:[lsasspirpc],以向受感染机器上的LSASS提供文件路径。一旦文件路径返回,恶意软件将伴随的DLL文件a.dll加载到正在运行的LSASS进程中。如果DLL正确加载,则恶意软件在控制台中输出消息"[*]success"。
17a27b1759f10d1f6f1f51a11c0efea550e2075c2c394259af4d3f855bbcc994 (a.dll)
标签:特洛伊木马
详细信息
- 名称:a.dll
- 大小:106496字节
- 类型:PE32+可执行文件(DLL)(控制台)x86-64,用于MS Windows
- MD5:206b8b9624ee446cad18335702d6da19
- SHA256:17a27b1759f10d1f6f1f51a11c0efea550e2075c2c394259af4d3f855bbcc994
描述
该文件是一个64位Windows DLL,名为a.dll,由a.bat作为a.exe的参数执行。文件a.exe将此文件加载到受感染机器上正在运行的LSASS进程中。
文件a.dll调用Windows API CreateFileW在路径C:\Users\Public中创建名为a.png的文件。接下来,a.dll加载DbgCore.dll,然后利用MiniDumpWriteDump函数将LSASS进程内存转储到磁盘。如果成功,转储的进程内存被写入a.png。一旦完成,文件a.bat指定文件a.png用于在路径C:\Windows\Tasks中创建名为a.cab的cabinet文件。
截图
图2 - 这是对寄存器R14的调用,其中包含被利用来将LSASS进程内存转储到磁盘的MiniDumpWriteDump函数。
906602ea3c887af67bcb4531bbbb459d7c24a2efcb866bcb1e3b028a51f12ae6 (a.py)
详细信息
- 名称:a.py
- 大小:2645字节
- 类型:Python脚本,ASCII文本可执行文件,带有CRLF行终止符
- MD5:9cff554fa65c1b207da66683b295d4ad
- SHA256:906602ea3c887af67bcb4531bbbb459d7c24a2efcb866bcb1e3b028a51f12ae6
描述
该文件是一个名为a.py的Python脚本,尝试利用WinRM建立会话。如果关键字"hashpasswd"存在,脚本尝试使用NT LAN Manager(NTLM)对远程机器进行身份验证。如果关键字"hashpasswd"不存在,则脚本尝试使用基本身份验证进行身份验证。
一旦与远程机器建立WinRM会话,脚本能够在远程机器上执行命令行参数。如果没有指定命令,则运行默认命令"whoami"。
截图
图3 - 这是显示命令行选项的Python脚本部分。
图4 - 这是显示脚本如何根据关键字"hashpasswd"决定使用NTLM还是基本身份验证的函数。
关系总结
- a.bat与a.exe和a.dll相关
- a.exe与a.dll和a.bat相关
- a.dll与a.exe和a.bat相关
建议
CISA建议用户和管理员考虑使用以下最佳实践来加强其组织系统的安全状况。任何配置更改都应在实施前由系统所有者和管理员审查,以避免不良影响。
- 保持最新的防病毒签名和引擎
- 保持操作系统补丁最新
- 禁用文件和打印机共享服务。如果需要这些服务,请使用强密码或Active Directory身份验证
- 限制用户安装和运行不需要的软件应用程序的权限(权限)。除非必要,否则不要将用户添加到本地管理员组
- 强制执行强密码策略并实施定期密码更改
- 打开电子邮件附件时要小心,即使附件是预期的且发件人看起来是已知的
- 在机构工作站上启用个人防火墙,配置为拒绝未经请求的连接请求
- 禁用机构工作站和服务器上不必要的服务
- 扫描并删除可疑的电子邮件附件;确保扫描的附件是其"真实文件类型"(即扩展名与文件头匹配)
- 监控用户的网页浏览习惯;限制访问具有不良内容的网站
- 使用可移动媒体(例如,USB拇指驱动器、外部驱动器、CD等)时要小心
- 在执行前扫描从Internet下载的所有软件
- 保持对最新威胁的情况感知并实施适当的访问控制列表(ACL)
联系信息
- 1-844-Say-CISA
- contact@mail.cisa.dhs.gov(未分类)
- CISA SIPR(SIPRNET)
- CISA IC(JWICS)
更多精彩内容 请关注我的个人公众号 公众号(办公AI智能小助手)
对网络安全、黑客技术感兴趣的朋友可以关注我的安全公众号(网络安全技术点滴分享)
公众号二维码
公众号二维码
