Citrix Bleed 漏洞分析与恶意软件技术剖析

分析报告

MAR-10478915-1.v1 Citrix Bleed

发布日期：2023 年 11 月 21 日

警报代码：AR23-325A

相关主题：网络威胁与咨询、恶意软件、网络钓鱼和勒索软件、事件检测、响应和预防

通知

本报告"按原样"提供，仅用于信息目的。国土安全部（DHS）对此处包含的任何信息不作任何明示或暗示的保证。DHS 不认可本公告中引用的任何商业产品或服务。

本文档标记为 TLP:CLEAR——接收方可以无限制地共享此信息。根据公共发布的适用规则和程序，当信息具有最小或不可预见的误用风险时，来源可以使用 TLP:CLEAR。遵循标准版权规则，TLP:CLEAR 信息可以无限制共享。

摘要

描述

针对最近披露的影响 Citrix NetScaler ADC 和 NetScaler Gateway 设备的 CVE-2023-4966，CISA 分析了四个文件，这些文件显示被用于保存注册表配置单元、将本地安全机构子系统服务（LSASS）进程内存转储到磁盘，以及尝试通过 Windows 远程管理（WinRM）建立会话。这些文件包括：

• Windows 批处理文件（.bat）

• Windows 可执行文件（.exe）

• Windows 动态链接库（.dll）

• Python 脚本（.py）

提交的文件（4 个）

98e79f95cf8de8ace88bf223421db5dce303b112152d66ffdf27ebdfcdf967e9 (a.bat)

详细信息

• 名称：a.bat

• 大小：376 字节

• 类型：DOS 批处理文件，ASCII 文本，带有 CRLF 行终止符

• MD5：52d5e2a07cd93c14f1ba170e3a3d6747

• SHA256：98e79f95cf8de8ace88bf223421db5dce303b112152d66ffdf27ebdfcdf967e9

描述该文件是一个名为 a.bat 的 Windows 批处理文件，用于使用 a.dll 作为参数执行 a.exe 文件。输出被打印到路径 C:\Windows\Tasks 中名为'z.txt'的文件中。接下来，a.bat ping 回环 IP 地址 127.0.0[.]1 三次。

它运行的下一个命令是 reg save，将 HKLM\SYSTEM 注册表配置单元保存到 C:\Windows\tasks\em 目录中。再次，a.bat ping 回环地址 127.0.0[.]1 一次，然后执行另一个 reg save 命令，并将 HKLM\SAM 注册表配置单元保存到 C:\Windows\Task\am 目录中。

接下来，a.bat 运行三个 makecab 命令，从前面提到的已保存注册表配置单元和一个名为 C:\Users\Public\a.png 的文件创建三个 Cabinet（.cab）文件。.cab 文件的名称如下：

• c:\windows\tasks\em.cab

• c:\windows\tasks\am.cab

• c:\windows\tasks\a.cab

截图图 1 - 这是文件 a.bat 的完整内容。

e557e1440e394537cca71ed3d61372106c3c70eb6ef9f07521768f23a0974068 (a.exe)

标签：特洛伊木马

详细信息

• 名称：a.exe

• 大小：145920 字节

• 类型：PE32+可执行文件（控制台）x86-64，用于 MS Windows

• MD5：37f7241963cf8279f7c1d322086a5194

• SHA256：e557e1440e394537cca71ed3d61372106c3c70eb6ef9f07521768f23a0974068

描述该文件是一个 64 位 Windows 命令行可执行文件，名为 a.exe，由 a.bat 执行。此文件向 RPC 端点发出远程过程调用（RPC）ncalrpc:[lsasspirpc]，以向受感染机器上的 LSASS 提供文件路径。一旦文件路径返回，恶意软件将伴随的 DLL 文件 a.dll 加载到正在运行的 LSASS 进程中。如果 DLL 正确加载，则恶意软件在控制台中输出消息"[*]success"。

17a27b1759f10d1f6f1f51a11c0efea550e2075c2c394259af4d3f855bbcc994 (a.dll)

标签：特洛伊木马

详细信息

• 名称：a.dll

• 大小：106496 字节

• 类型：PE32+可执行文件（DLL）（控制台）x86-64，用于 MS Windows

• MD5：206b8b9624ee446cad18335702d6da19

• SHA256：17a27b1759f10d1f6f1f51a11c0efea550e2075c2c394259af4d3f855bbcc994

描述该文件是一个 64 位 Windows DLL，名为 a.dll，由 a.bat 作为 a.exe 的参数执行。文件 a.exe 将此文件加载到受感染机器上正在运行的 LSASS 进程中。

文件 a.dll 调用 Windows API CreateFileW 在路径 C:\Users\Public 中创建名为 a.png 的文件。接下来，a.dll 加载 DbgCore.dll，然后利用 MiniDumpWriteDump 函数将 LSASS 进程内存转储到磁盘。如果成功，转储的进程内存被写入 a.png。一旦完成，文件 a.bat 指定文件 a.png 用于在路径 C:\Windows\Tasks 中创建名为 a.cab 的 cabinet 文件。

截图图 2 - 这是对寄存器 R14 的调用，其中包含被利用来将 LSASS 进程内存转储到磁盘的 MiniDumpWriteDump 函数。

906602ea3c887af67bcb4531bbbb459d7c24a2efcb866bcb1e3b028a51f12ae6 (a.py)

详细信息

• 名称：a.py

• 大小：2645 字节

• 类型：Python 脚本，ASCII 文本可执行文件，带有 CRLF 行终止符

• MD5：9cff554fa65c1b207da66683b295d4ad

• SHA256：906602ea3c887af67bcb4531bbbb459d7c24a2efcb866bcb1e3b028a51f12ae6

描述该文件是一个名为 a.py 的 Python 脚本，尝试利用 WinRM 建立会话。如果关键字"hashpasswd"存在，脚本尝试使用 NT LAN Manager（NTLM）对远程机器进行身份验证。如果关键字"hashpasswd"不存在，则脚本尝试使用基本身份验证进行身份验证。

一旦与远程机器建立 WinRM 会话，脚本能够在远程机器上执行命令行参数。如果没有指定命令，则运行默认命令"whoami"。

截图图 3 - 这是显示命令行选项的 Python 脚本部分。图 4 - 这是显示脚本如何根据关键字"hashpasswd"决定使用 NTLM 还是基本身份验证的函数。

关系总结

• a.bat 与 a.exe 和 a.dll 相关

• a.exe 与 a.dll 和 a.bat 相关

• a.dll 与 a.exe 和 a.bat 相关

建议

CISA 建议用户和管理员考虑使用以下最佳实践来加强其组织系统的安全状况。任何配置更改都应在实施前由系统所有者和管理员审查，以避免不良影响。

• 保持最新的防病毒签名和引擎

• 保持操作系统补丁最新

• 禁用文件和打印机共享服务。如果需要这些服务，请使用强密码或 Active Directory 身份验证

• 限制用户安装和运行不需要的软件应用程序的权限（权限）。除非必要，否则不要将用户添加到本地管理员组

• 强制执行强密码策略并实施定期密码更改

• 打开电子邮件附件时要小心，即使附件是预期的且发件人看起来是已知的

• 在机构工作站上启用个人防火墙，配置为拒绝未经请求的连接请求

• 禁用机构工作站和服务器上不必要的服务

• 扫描并删除可疑的电子邮件附件；确保扫描的附件是其"真实文件类型"（即扩展名与文件头匹配）

• 监控用户的网页浏览习惯；限制访问具有不良内容的网站

• 使用可移动媒体（例如，USB 拇指驱动器、外部驱动器、CD 等）时要小心

• 在执行前扫描从 Internet 下载的所有软件

• 保持对最新威胁的情况感知并实施适当的访问控制列表（ACL）

联系信息

• 1-844-Say-CISA

• contact@mail.cisa.dhs.gov（未分类）

• CISA SIPR（SIPRNET）

• CISA IC（JWICS）更多精彩内容 请关注我的个人公众号 公众号（办公 AI 智能小助手）对网络安全、黑客技术感兴趣的朋友可以关注我的安全公众号（网络安全技术点滴分享）

公众号二维码

办公AI智能小助手

公众号二维码

网络安全技术点滴分享