20200523 - 20200525 Firewall Session Summary and TopN Threat ID

Session During 2 Days

Threat Activity

Windows Event ID caused from Attack

Attack	Event ID
Account and Group Enumeration	4798: A user's local group membership was enumerated 4799: A security-enabled local group membership was enumerated
AdminSDHolder	4780: The ACL was set on accounts which are members of administrators groups
Kekeo	4624: Account Logon 4672: Admin Logon 4768: Kerberos TGS Request
Silver Ticket	4624: Account Logon 4634: Account Logoff 4672: Admin Logon
Golden Ticket	4624: Account Logon 4672: Admin Logon
PowerShell	4103: Script Block Logging 400: Engine Lifecycle 403: Engine Lifecycle 4103: Module Logging 600: Provider Lifecycle
DCShadow	4742: A computer account was changed 5137: A directory service object was created 5141: A directory service object was deleted 4929: An Active Directory replica source naming context was removed
Skeleton Keys	4673: A privileged service was called 4611: A trusted logon process has been registered with the Local Security Authority 4688: A new process has been created 4689: A new process has exited
PYKEK MS14-068	4672: Admin Logon 4624: Account Logon 4768: Kerberos TGS Request
Kerberoasting	4769: A Kerberos ticket was requested
S4U2Proxy	4769: A Kerberos ticket was requested
Lateral Movement	4688: A new process has been created 4689: A process has exited 4624: An account was successfully logged on 4625: An account failed to log on
DNSAdmin	770: DNS Server plugin DLL has been loaded 541: The setting serverlevelplugindll on scope . has been set to <dll path> 150: DNS Server could not load or initialize the plug-in DLL
DCSync	4662: An operation was performed on an object
Password Spraying	4625: An account failed to log on 4771: Kerberos pre-authentication failed 4648: A logon was attempted using explicit credentials

APAC Gov IoC - 202005

Malicious Domain & Hash

https://pastebin.com/VYYz33h7

常見Citrix WAF 部署問題

Start URL (啟動網址)

https://docs.citrix.com/en-us/citrix-adc/12-1/application-firewall/url-protections/starturl-check.html

* 啟動URL檢查將檢查傳入請求中的URL，如果URL不符合指定條件，則阻止連接嘗試。為了滿足條件，URL必須與“開始URL”列表中的條目匹配，除非啟用了“強制URL封閉”參數。如果啟用此參數，則在您的網站上單擊鏈接的用戶將連接到該鏈接的目標。

* “開始URL”檢查的主要目的是防止重複嘗試通過書籤，外部鏈接或通過手動鍵入URL來跳過訪問該URL所需的頁面來訪問網站上的隨機URL（強制瀏覽），通過書籤，外部鏈接或跳轉到頁面的嘗試。網站的一部分。強制瀏覽可用於觸發緩衝區溢出，查找用戶不希望直接訪問的內容或為Web服務器的安全區域找到後門。Web App防火牆通過僅允許訪問配置為起始URL的URL來實施網站的給定遍歷或邏輯路徑。

Cookie Consistency (Cookie一致性檢查)

https://docs.citrix.com/en-us/citrix-adc/12-1/application-firewall/top-level-protections/cookie-consistency-check.html

* Cookie一致性檢查檢查用戶返回的cookie，以驗證它們是否與您的網站為該用戶設置的cookie匹配。如果找到修改後的cookie，則將其從請求中剝離，然後將請求轉發到Web服務器。您還可以配置Cookie一致性檢查，以通過加密cookie，代理cookie或向cookie添加標誌來轉換它處理的所有服務器cookie。此檢查適用於請求和響應。

* 攻擊者通常會偽裝成先前通過身份驗證的用戶，從而修改Cookie以獲得對敏感私人信息的訪問權，或導致緩衝區溢出。緩衝區溢出檢查通過使用非常長的cookie來防止嘗試導致緩衝區溢出。Cookie一致性檢查側重於第一種情況。

Content Type (內容類型)

https://docs.citrix.com/en-us/netscaler/12/application-firewall/content-type-protection.html

* Web服務器通常在Content-Type標頭中添加一個Content / Type頭，其中包含MIME / type定義，用於Web服務器為用戶提供服務的每個文件中的內容類型。Web服務器提供許多不同類型的內容。例如，標準HTML被分配了“ text / html” MIME類型。JPG圖像被分配了“圖像/ jpeg”或“圖像/ jpg”內容類型。普通的Web服務器可以提供數十種或數百種不同類型的內容，所有內容都在Content Type標頭中由分配的MIME /類型定義。

* 許多App Firewall過濾規則旨在過濾特定類型的內容。由於適用於一種類型的內容（例如HTML）的過濾規則在過濾不同類型的內容（例如圖像）時通常是不合適的，因此App Firewall會嘗試先確定請求和響應的內容類型，然後再過濾它們。當Web服務器或瀏覽器未在請求或響應中添加Content-Type標頭時，App Firewall會將默認內容類型應用於連接並相應地過濾內容。

* 默認的內容類型通常是“應用程序/八位字節流”，這是最通用的MIME /類型定義。此MIME /類型適用於Web服務器可能提供的任何類型的內容，但也沒有提供太多信息應用防火牆，以允許其選擇適當的過濾。如果將網絡上受保護的Web服務器配置為向其服務的內容添加準確的內容類型標頭，或者僅提供一種類型的內容，則可以為該Web服務器創建配置文件，並為其分配其他默認內容類型以進行改進過濾的速度和準確性。

Form Field Consistency (表單字段一致性檢查)

https://docs.citrix.com/en-us/netscaler/12/application-firewall/form-protections/form-field-consistency-check.html

* 表單字段一致性檢查將檢查您的網站用戶返回的Web表單，並驗證客戶端是否對Web表單進行了不適當的修改。此檢查僅適用於包含Web表單的HTML請求，包含或不包含數據。它不適用於XML請求。

* 表單字段一致性檢查可防止客戶在填寫並提交表單時對網站上的Web表單的結構進行未經授權的更改。它還可以確保用戶提交的數據符合HTML的長度和類型限制，並且隱藏字段中的數據不會被修改。這樣可以防止攻擊者篡改Web表單並使用修改後的表單來獲得對網站的未經授權的訪問，重定向使用不安全腳本的聯繫表單的輸出並由此發送未經請求的批量電子郵件或利用Web服務器中的漏洞用於控制Web服務器或底層操作系統的軟件。Web表單是許多網站上的薄弱環節，並且會引起廣泛的攻擊。

Field Formats (表單欄位格式)

https://docs.citrix.com/en-us/netscaler/12/application-firewall/form-protections/field-formats-check.html

* 字段格式檢查可驗證用戶以Web形式發送到您的網站的數據。它檢查數據的長度和類型，以確保它適合於其中出現的表單字段。如果App Firewall在用戶請求中檢測到不合適的Web表單數據，則會阻止該請求。

* 通過阻止攻擊者向您的網站發送不適當的Web表單數據，“字段格式”檢查可防止對您的網站和數據庫服務器進行某些類型的攻擊。例如，如果特定字段期望用戶輸入電話號碼，則“字段格式”檢查將檢查用戶提交的輸入，以確保數據與電話號碼的格式匹配。如果特定字段需要一個名字，則“字段格式”檢查將確保該字段中的數據具有適合名字的類型和長度。它對您配置要保護的每個表單字段執行相同的操作。

* 此檢查僅適用於HTML請求。它不適用於XML請求。您可以在HTML配置文件或Web 2.0配置文件中配置字段格式檢查，以檢查HTML有效負載以保護您的應用程序。App Firewall還支持Google Web Toolkit（GWT）應用程序的字段格式檢查保護。

CSRF From Tagging (CSRF 表單標記)

https://docs.citrix.com/en-us/citrix-adc/12-1/application-firewall/form-protections/cross-site-request-forgery-check.html

* 跨站點請求偽造（CSRF）表單標記檢查使用唯一且不可預測的FormID標記受保護網站發送給用戶的每個Web表單，然後檢查用戶返回的Web表單以確保提供的FormID正確。此檢查可防止跨站點請求偽造攻擊。此檢查僅適用於包含Web表單的HTML請求，包含或不包含數據。它不適用於XML請求。

* CSRF表單標記檢查可防止攻擊者使用自己的Web表單將包含數據的大量表單響應發送到受保護的網站。與深入分析Web表單的某些其他安全檢查相比，此檢查需要相對較少的CPU處理能力。因此，它能夠處理大量攻擊，而不會嚴重降低受保護網站或Web App Firewall本身的性能。

HTML Cross-Site Scripting (HTML跨站點腳本檢查)

https://docs.citrix.com/en-us/citrix-adc/12-1/application-firewall/top-level-protections/html-cross-site-scripting-check.html

* HTML跨站點腳本（XSS）檢查檢查用戶請求的標頭和POST正文，以查找可能的跨站點腳本攻擊。如果發現跨站點腳本，則它要么修改（轉換）請求以使攻擊無害，要么阻止該請求。

* 為防止濫用受保護網站上的腳本以破壞網站上的安全性，HTML跨站腳本檢查會阻止違反同一原產地規則的腳本，該腳本指出，腳本不應訪問或修改任何服務器上的內容，但它們所在的服務器。任何違反相同原始規則的腳本都稱為跨站點腳本，而使用腳本來訪問或修改另一台服務器上的內容的做法稱為跨站點腳本。跨站點腳本是安全問題的原因是，允許跨站點腳本的Web服務器可以使用不在該Web服務器上但在其他Web服務器上的腳本進行攻擊，該腳本是由該Web服務器擁有和控制的。攻擊者。

* 不幸的是，許多公司都有大量安裝了JavaScript增強的Web內容，這違反了相同的來源規則。如果在這樣的站點上啟用HTML跨站點腳本檢查，則必須生成適當的異常，以便該檢查不會阻止合法活動。

* Web App防火牆提供了用於實現HTML跨站點腳本保護的各種操作選項。除了Block，Log，Stats和Learn操作外，您還可以選擇轉換跨站點腳本，以通過在提交的請求中對腳本標籤進行編碼的實體來使攻擊無害。您可以配置“檢查跨站點腳本的完整URL”來指定是否不僅要檢查查詢參數，還要檢查整個URL以檢測XSS攻擊。您可以配置InspectQueryContentTypes參數來檢查請求查詢部分是否存在針對特定內容類型的XSS攻擊。

HTML SQL Injection (HTML SQL注入檢查)

https://docs.citrix.com/en-us/citrix-adc/12-1/application-firewall/top-level-protections/html-sql-injection-check.html

* 許多Web應用程序都有使用SQL與關係數據庫服務器進行通信的Web表單。惡意代碼或黑客可以使用不安全的Web表單將SQL命令發送到Web服務器。Web App防火牆HTML SQL注入檢查提供了特殊的防禦措施，以防止注入可能破壞安全性的未授權SQL代碼。如果Web App防火牆在用戶請求中檢測到未經授權的SQL代碼，則它將轉換請求以使SQL代碼處於非活動狀態，或阻止該請求。Web App防火牆在以下三個位置檢查注入的SQL代碼的請求有效負載：1)POST正文，2)標頭 和 3)Cookie。為了檢查請求的SQL代碼中的查詢部分，請為特定的內容類型配置appfw配置文件設置“ InspectQueryContentTypes”。

* 默認的關鍵字和特殊字符集提供了通常用於發起SQL攻擊的已知關鍵字和特殊字符。您可以添加新的模式，還可以編輯默認設置以自定義SQL檢查檢查。Web App防火牆提供了用於實施SQL注入保護的各種操作選項。除了Block，Log，Stats和Learn操作外，Web App Firewall概要文件還提供了轉換SQL特殊字符以使攻擊無害的選項。

* 除了操作外，還可以為SQL注入處理配置幾個參數。您可以檢查SQL通配符。您可以更改SQL注入類型，並選擇4個選項之一（SQLKeyword，SQLSplChar，SQLSplCharANDKeyword，SQLSplCharORKeyword），以指示在處理有效內容時如何評估SQL關鍵字和SQL特殊字符。在SQL註釋處理參數，使您可以指定需要被檢查或SQL注入檢測時豁免註釋類型的選項。