< Zurück
News

Ransomware-Angriffe als Folge von Shitrix

Security Consulting Artikel

Monate nach dem Auftauchen der kritischen Sicherheitslücke im Citrix Application Delivery Controller (ADC) und NetScaler Gateway (CVE-2019-19781, auch als “Shitrix“ bekannt) werden nun immer mehr Fälle bekannt, in denen die Lücke sehr früh ausgenutzt, jedoch erst sehr viel später lukrativ verwendet wurde bzw. aktuell wird.

Unsere Incident Responder stellten dabei fest, dass im kritischen Zeitraum Anfang 2020 in einigen Fällen Backdoors installiert worden sind, welche nun, 8 Monate später, durch Ransomware-Angriffe aktiv ausgenutzt werden. Hierbei haben die Angreifer sich oft noch nicht einmal die Mühe gemacht, die bekannten Proof-of-Concepts der Gruppe „Project Zero India“ anzupassen. So wurde in den uns bekannten Fällen der Benutzer „pwnpzi1337“ angelegt, welcher im ursprünglichen PoC verwendet wurde.

Die späteren Aktionen ähnelten dann wiederum den typischen Angriffsmustern der aktuellen Kampagnen. Network Discovery, Verbreitung im Netz (beispielsweise mittels Dridex oder Cobalt-Strike), Datenabfluss und nachgelagert die Verschlüsselung der Daten mit z.B. DoppelPaymer.

Es gibt jedoch eine Vielzahl weiterer denkbarer Malware-Varianten auf dem Markt. Aufgrund der aktuellen Angriffswellen wird jedem Administrator und Systemverantwortlichen dringend empfohlen, speziell seine Citrix NetScaler Systeme noch einmal genau zu prüfen, insbesondere auf mögliche neue Benutzer oder auffällige Netzwerkaktivität. Ein Blick in den Ordner /var/vpn/bookmark wird in jedem Fall empfohlen, da hier die vom Angreifer eingeschleusten XML-Dateien zu finden sind.
Als schnelle Prüfung auf eine mögliche Kompromitierung hat sich die Anleitung unter
http://deyda.net/index.php/en/2020/01/15/checklist-for-citrix-adc-cve-2019-19781 
als hilfreich erwiesen.

Sofern Zweifel an der Integrität der Systems bestehen, empfehlen unsere Forensik Experten das Neuaufsetzen des Systems, welches das Standardvorgehen bei Ransomware-Attacken ist. Gerne verweisen wir hierbei auch auf die Empfehlungen des BSI, welches diese sehr gut zusammengefasst hat. Bereits im Januar 2020 hat das BSI eine Citrix-Schwachstellenwarnung (siehe CSW-Nr. 2020-172597-1531, Version 1.5, 30.01.2020 und
https://www.bsi.bund.de/DE/Presse/Pressemitteilungen/Presse2020/Citrix_Schwachstelle_160120.html)
herausgegeben, welche beispielweise die folgenden Maßnahmen enthält:

  • Netztrennung der kompromittierten Citrix-Instanz
  • Sicherung der alten Citrix-Instanz (gesamtes System oder zumindest die Logdateien unter /var/log/*)
  • Neuaufsetzen der Citrix-Instanz mit dem aktuellsten Build des jeweiligen Versionszweiges und Umsetzung des Workarounds (Workaround-Empfehlung als noch keine Patches verfügbar waren).
  • Erstellung neuer SSL-/TLS-Zertifikate, Zurückrufen der alten SSL-/TLS-Zertifikate
  • Zurücksetzen aller Windows Active Directory Passwörter, wenn sich der Citrix-Nutzerkreis nicht einschränken lässt
  • Je nach Netzanbindung Prüfung der Windows Domäne auf weitere Kompromittierungen
  • Wurden auf einem kompromittierten Citrix-System Wildcard-SSL-Zertifikate (*.example.com) verwendet, sind bei dem oben angesprochenen Zertifikatstausch alle weiteren Systeme zu berücksichtigen, die das Wildcard-Zertifikat einsetzen.
  • Citrix-Administratoren sollten grundsätzlich Citrix-Security-Bulletins mit Hinweisen auf neue Firmware-Versionen abonnieren, um Hinweise auf neue Firmware-Updates zu erhalten 

Die Allianz für Cybersicherheit hat noch weitere Maßnahme empfohlen. Diese finden sich unter www.allianz-fuer-cybersicherheit.de/ACS/DE/Informationspool/Themen/Ransomware/ransomware_node.html
Wichtig zu erwähnen ist in diesem Fall auch, dass die Angreifer sich potenziell monatelang unbemerkt im Netzwerk bewegen konnten und damit die Integrität auch länger zurückliegender Backups gefährdet sein könnte. Hier ist besondere Vorsicht beim Restore betroffener Systeme gegeben.

Anfang August 2020 waren immer noch ca. 200 verwundbare Citrix-Systeme in Deutschland aus dem 
Internet erreichbar (https://twitter.com/certbund/status/1291017699351580675). Die Dunkelziffer der Systeme, welche abgesichert sind, aber bereits eine Backdoor implementiert haben, lässt sich nicht beziffern.

Weiterhin gehen fast täglich Fälle von Ransomware in Microsoft Office-Dokumenten ein. Hier hatte Heise bereits Anfang September gewarnt
(https://www.heise.de/ix/meldung/Malware-Immer-mehr-infizierte-MS-Office-Dateien-4883892.html).

English Version

Bei weiteren Fragen können Sie sich gerne an unsere Experten wenden

Datenschutzhinweise anzeigen

* Bitte ausfüllen

Jetzt teilen: