این #اسکنر به طور مشترک توسط FireEye و Citrix و بر اساس اطلاعات جمع آوری شده از پاسخگویی های مربوط به حوادث رایانه ای بهره برداری از آسیب پذیری CVE-2019-19781 تهیه شده است. هدف این اسکنر تجزیه و تحلیل منابع موجود و شواهد جرم یابی دیجیتال در سیستم، به منظور شناسایی شواهد بهره برداری موفقیت آمیز از آسیب پذیری CVE-2019-19781 می¬باشد.
هرچند محدودیت هایی در خصوص توانایی های این ابزار وجود دارد؛ با این حال نباید سیستم های دارای اینگونه محدودیت ها را عاری از آلودگی، تلقی کرد. زیرا ممکن است سیستم مجدداً راه اندازی شده باشد و یا حتی مهاجم برای حذف شواهد سیستم را دستکاری کرده و/یا یک rootkit نصب کند که شواهد را حذف نماید و ...
این اسکنر می تواند موارد زیر را شناسایی کند:
• رخدادهای ورودی وب سرور نشانگر سوء استفاده موفقیت آمیز است
• مسیرهای file system بدافزارهای شناخته شده
• فعالیت پس از بهره برداری در تاریخچه ی shell
• موارد مخرب شناخته شده در دایرکتوری های NetScaler
• اصلاح غیرمنتظره دایرکتوری NetScaler
• مقادیر غیرمنتظره ی crontab
• پروسه های غیرمنتظره
• پورت هایی که توسط بدافزارهای شناخته شده استفاده می شوند
خروجی این ابزار در یکی از سه دسته قرار می گیرد:
1. شواهد آسیب پذیری: این خروجی به صورت پیش فرض وجود دارد. هر مدرکی که در این طبقه قرار می گیرد ، نشان دهنده آنست که دستگاه با موفقیت مورد نفوذ قرارگرفته و آسیب پذیر بوده است. دلیل این امر می تواند موارد متعددی باشد: از اجرای دستورات منجر به افشای اطلاعات (به عنوان مثال مشاهده پرونده های پیکربندی ns.conf یا smb.conf ) گرفته تا نصب یک backdoor (به عنوان مثال NOTROBIN ، استخراج کننده ارز دیجیتال و ...)
2. شواهدی از اسکن موفقیت آمیز آسیب پذیری که می تواند توسط یک مدیر سیستم مجاز یا یک مهاجم غیر مجاز بوده باشد: هر مدرکی که به این گروه تعلق داشته باشد، نشان می دهد که این سیستم در وضعیت آسیب پذیر قرار داشته و یا حداقل در اولین مرحله بهره برداری از CVE-2019-19781 موفقیت آمیز بوده است.
3. شواهد اسکن آسیب پذیری ناموفق: هر مدرکی که در این طبقه قرار می گیرد، نشان می دهد که تلاشی برای اسکن یا بهره برداری از سیستم انجام شده است.
این ابزار تضمینی نمی¬دهد که کلیه شواهد در معرض خطر قرار گرفتن سیستم، به خصوص آنچه مربوط به آسیب پذیری CVE-2019-19781 را رائه می دهد. لذا اگر نشانه هایی از آلودگی بر روی سیستم ها مشخص شود، سازمان ها باید بررسی های جرم یابی دیجیتال را انجام دهند تا دامنه و وسعت این حادثه مشخص شود.
نحوه استفاده
می بایست Bash اسکریپت موجود در اینجا را دریافت نمایید. اسکنر IoC را می توان مستقیماً بر روی دستگاه ADC Citrix اجرا کرد. ابزار مذکور در این حالت، پرونده ها، پردازش ها و پورت ها را برای نشانگرهای شناخته شده اسکن کرده و همچنین پیام های تشخیص را چاپ میکند. در استفاده معمولی، می بایست STDOUT را برای بررسی مجدداً به یک فایل وارد نمایید. همچنین ابزار باید به صورت root و به صورت live بر روی دستگاه لوازم جانبی ADC Citrix اجرا شود.به عنوان مثال:
$ sudo bash ./ioc-scanner-CVE-2019-19781-v1.1.sh > "/tmp/results-$(date).txt"
این ابزار برای استفاده با محصولات زیر طراحی شده است:
• Citrix ADC و Citrix Gateway نسخه 13.0
• Citrix ADC و Citrix Gateway نسخه 12.1
• Citrix ADC و Citrix Gateway نسخه 12.0
• Citrix ADC و Citrix Gateway نسخه 11.1
• Citrix ADC و Citrix Gateway نسخه 10.5
• برنامه Citrix SD-WAN WANOP مدل های 4000 ، 4100 ، 5000 و 5100
- 28