F5 和 Citrix 负载平衡器上的恶意软件持久性技术

在过去几年中，黑客将路由器、VPN 集中器和负载平衡器等面向公众的网络设备作为目标，以在企业网络中站稳脚跟。虽然在此类设备中发现远程代码执行漏洞并不少见，但攻击者能够在这些设备上部署能够在重启或固件升级后仍然存在的恶意软件的事件很少见，而且通常归因于复杂的 APT 组织。

由于它们使用闪存，如果进行多次写入操作，闪存会随着时间的推移而降级，因此嵌入式网络设备通常将其固件存储在只读文件系统中，并在每次重启时将其内容加载到 RAM 中。这意味着在设备正常运行期间由各种运行的服务生成的所有更改和文件都是临时的，因为它们只发生在 RAM 中，永远不会保存到文件系统中，当设备重新启动时，文件系统将恢复到其初始状态。

例外情况是通过设备管理界面生成并存储在称为 NVRAM（非易失性 RAM）的有限存储区域中的配置文件和脚本。从攻击者的角度来看，这种限制使得以持久的方式破坏网络设备变得更加困难，这就是为什么针对家用路由器的大规模攻击，例如，涉及自动僵尸网络，定期重新扫描并重新感染已重新启动的路由器。

然而，在针对企业网络的针对性攻击场景中，攻击者更愿意保持隐蔽状态，而不是多次攻击同一台设备，这样他们就不会触发漏洞公开后可能实施的任何检测。他们还更愿意长期访问此类设备，并将它们用作进入内部网络的桥梁，以及他们可以执行横向移动和扩展对其他非公共设备的访问的枢轴点。

Citrix、F5 负载平衡器中的持久性机会

自 2019 年以来，Citrix 和 F5 负载均衡器中出现了三个严重漏洞（CVE-2019-19781、CVE-2020-5

902和CVE-2022-1388），这些漏洞已被公开记录并在野外被利用，引发了美国的警告网络安全和基础设施安全局 (CISA) 和其他组织。正因为如此，固件安全公司 Eclypsium 的研究人员最近调查了攻击者在此类设备上的持久性机会。他们的发现在周三的一份报告中公布。

2022 年 5 月，安全公司 Mandiant报告称，一个网络间谍威胁行为者——当时被识别为 UNC3524，但后来与俄罗斯国营的 APT29 (Cozy Bear) 相关联——破坏了企业网络，并且由于部署后门而在很长一段时间内未被发现植入网络设备，包括不支持在其上运行端点检测和响应 (EDR) 等检测工具并运行旧版本 CentOS 和 BSD 的负载均衡器。虽然 Mandiant 没有指明这些设备或其制造商的名称，但 Eclypsium 研究人员认为它们是 F5 和 Citrix 设备，因为 F5 负载平衡器运行 CentOS，而 Citrix（以前称为 Netscaler）运行 FreeBSD。

“UNC3524 的一个特点很突出：他们的 TTP 不可靠，他们使用修改过的开源软件来建立他们的后门，并且似乎只对系统有足够的了解来实现最基本的目标，”Eclypsium 研究人员在他们的报告中说。报告。“他们的植入物非常不可靠，他们安装网络外壳的唯一目的是在他们死后重新启动它们。正是这个特性成为了这项研究的催化剂，悬而未决的问题是：是否可以在负载均衡器上使用现成的 C2 框架？恶意软件是否具有足够的弹性以在重启甚至升级后持续存在？是否有可能将设备感染得如此之深以至于干净擦拭并重新安装是不够的？”

许多攻击组织选择使用破解版的商业攻击框架，例如 Cobalt Strike 或 Brute Ratel，但 Eclypsium 研究人员想要一些开源的东西，并且容易被不太老练的攻击者使用，所以他们选择了 Sliver，一个开源的对手仿真框架，用于他们的测试植入物。Sliver 是用 Go 编写的，因此它是跨平台的，并提供旋转和隧道功能。

为了调查 F5 负载均衡器在重启和固件升级期间保留了哪些文件，研究人员研究了通过管理界面可用的配置备份功能，该功能可用于生成包含所有配置和设置的存档，以后可以在全新安装中进行部署. 在包含数百个文件的档案中，研究人员选择了三个可执行脚本和配置文件，这些文件可以在某些事件上执行脚本。

“在这项研究中的一个意外发现是供应商文档；事实证明，多年来这些设备中包含了大量关于未记录的特性和功能的信息，”研究人员说。“感谢供应商，如果没有文档，这项研究会困难得多。了解设备如何处理其配置文件非常重要。”