f Bhabesh Raj, Associate Security Analyst Engineer og Kennet Harpsøe, Senior Cyber Analyst

Log4Shell-sårbarheden er alvorlig – den er svær at registrere, bruges i mange og mange software og er den perfekte bil til at få malware ind i dit netværk. Der findes ikke ét cyberværktøj, der kan beskytte din virksomhed mod Log4Shell.
En kombination af værktøjer og en dybdegående forsvarstankegang vil give organisationer mulighed for at opdage aktiviteter efter kompromis og sætte en stopper for angrebet.

Forestil dig, at du er blevet overtrådt – hvad nu?

Den 9. december 2021 afslørede Apache en kritisk sårbarhed for fjernkodeeksekvering (CVE-2021-44228), også kendt som Log4Shell, som påvirker Apache Log4j version 2.0-2.14.1. Log4j er et populært logbibliotek i Java og bruges i flere enterprise applikationer, herunder Apache Struts, Flume, Kafka, Flink, Tomcat, Solr og VMware vCenter. På grund af forekomsten af Log4j har forsvarere været ude af drift for at identificere, hvilke af deres implementerede applikationer der er berørt. Forsøg på at udnytte denne sårbarhed er særligt svære at opdage, fordi enhver streng, der kan blive logget af log4j, kan udløse sårbarheden. Det kan være alt fra brugeragentstrenge til e-mailemnelinjer. Udnyttelsen kan endda blive udløst ned ad linjen af f.eks. et sårbart SIEM-system, der lagrer logfiler ved hjælp af log4j på et senere tidspunkt.

IT-overfladen i de fleste moderne virksomheder er omfattende og kompleks. Det er umuligt at stoppe eller endda opdage al ondsindet aktivitet ved perimeteren, og nogle vil uundgåeligt sive gennem revnerne. Sikkerhedsteams med ansvar for store IT-systemer bør overtage brud ved håndtering af sikkerhed. Der vil være malware i dit system et eller andet sted. Log4Shells bredde og undvigeevne illustrerer dette punkt perfekt. Alle ledere bør spørge sig selv, om de vil være i stand til at registrere, om angribere bruger malwaren til at penetrere deres systemer eller ej. En dybdegående forsvarsstrategi er den bedste måde at reagere på.

Dybdegående forsvar analyseres ofte gennem Lockheed-Martin cyber kill-kædens linse eller Mitre ATT&CK-rammen,som i bund og grund begge siger, at ethvert vellykket cyberangreb skal gå gennem en række konceptuelt veldefinerede trin. I tilfælde af Log4Shell kan angribere bruge den til at etablere indledende adgang og installere malware som Cobalt Strike, og den indledende adgang vil sandsynligvis være på en internetbaseret maskine som en Apache HTTP-webserver. De næste trin efter indledende adgang er persistens og lateral bevægelse. Ved hjælp af en dybdegående forsvarsstrategi er sikkerhedsledere udstyret til at spørge, hvor godt de er dækket til at registrere denne type aktivitet. Det kan f.eks. give mening at registrere persistens hos værtsagenter, der rapporterer tilbage til SIEM, og at registrere lateral bevægelse med et netværksdetekteringssystem, der rapporterer til SIEM og etablerer baselines for hvilke maskiner, der kommunikerer med hvilke maskiner. På den måde har sikkerhedsteams mulighed for at afdække en Apache-webserver, der fungerer som klient med hensyn til et domæne, der er tilsluttet værten bag den, hvilket ville være meget mistænkeligt i betragtning af Log4Shells natur. Med andre ord kan det betale sig at bruge tid og penge på at logge det, du vil, i stedet for det, du har.

Med en dybdegående forsvarsstrategi og et gennemtænkt logføringsregime kan sikkerhedsledere udvide sikkerhedsfunktioner med yderligere software, såsom bruger- og enhedsadfærdsanalyse (UEBA), som er ML-baseret software, der automatisk kan generere baselines som den i ovenstående eksempel. Teams kan også bruge SOAR-løsninger (Security Orchestration, Automation and Response) til automatisk at igangsætte en handling for at reducere svartiden og hjælpe med at reducere effekten af et angreb, f.eks. automatisk at afbryde forbindelsen mellem Apache-webserveren og domæneværten. SOAR’en kan også underrette en analytiker efter reaktionshandlingen og give analytikeren de relevante oplysninger til at undersøge webserveren, og om forbindelsen skal genetableres eller ej.

Alle LogPoint-alarmer mappes til MITRE ATT&CK-frameworket, hvilket hjælper sikkerhedsanalytikere med at forstå den aktuelle sikkerhedstilstand og prioritere alarmer.

Det ved vi om Log4Shell

Chen Zhaojun fra Alibaba Cloud Security Team rapporterede CVE-2021-44228 (CVSS 10 ud af 10) til Log4j-udviklerne den 24. november, hvilket førte til, at Apache udsendte en patch den 6. december. En PoC-udnyttelse blev offentliggjort den 10. december. Cloudflares administrerende direktør har udtalt, at det tidligste bevis på udnyttelse indtil videre er fra 1. december, hvilket tyder på, at sårbarheden var i naturen mindst 9 dage, før den blev offentliggjort.

Interessant nok bruger Log4Shell JNDI-angrebsvektoren, som tidligere blev præsenteret på BlackHat USA2016. Udnyttelse af sårbarheden gør det muligt for en ekstern angriber at udføre kode på applikationen, hvis den logger den af angriberen leverede strengværdi med angriberens JNDI LDAP-serveropslag. For at udløse sårbarheden skal en angriber inkludere en bestemt streng i sine anmodninger, f.eks. i brugeragenter,som den applikation, der bruger det sårbare Log4j-bibliotek, logger. Serveren sender derefter en anmodning til angriberens adresse via JNDI. Angriberens server, f.eks. LDAP, reagerer ved at sende en sti til en ekstern Java-klassefil, som indsprøjtes i den sårbare serverproces og udfører payload-koden. Desuden skal administratorer være opmærksomme på, at trusselaktører kan og har dumpet hemmelige data fra miljøvariabler, såsom hemmelige AWS-nøgler, for at kompromittere skyen.

Deutsche Telekom CERT har rapporteret udnyttelsesforsøg fra Tor-netværket. Den 10. december afslørede Imperva, at de havde observeret op mod 1,4 millioner angreb rettet mod CVE-2021-44228 med toppe, der nåede op på ca. 280.000 angreb i timen. Cloudflare rapporterede også, at man havde blokeret en spidsbelastning på 20.000 udnyttelsesanmodninger i minuttet, og omkring 200-400 IP-adresser ser ud til at være aktive i scanningen på et givet tidspunkt.

Store leverandører som Cisco, VMware, SonicWall, Okta og RedHat undersøger, hvilke af deres produkter der er berørt. LogPoint råder administratorer til regelmæssigt at kontrollere varslingerne, efterhånden som de opdateres af de respektive leverandører. Samtidig kan administratorer bruge Canary tokens til at teste tilstedeværelsen af Log4Shell-sårbarheden i deres applikationer.

“Microsoft har observeret angribere, der taber Cobalt Strike beacons ved at udnytte Log4Shell.” Sikkerhedsforsker Markus Neis tweetede, at ud over møntminearbejdere ser han Muhstik og Mirai blive droppet som nyttelast af Log4Shell-udnyttelsen. “Administratorer kan se på de basis64 nyttelaster, der frigives af GreyNoise til reference, for at vide, hvordan den vilde Log4Shell-udnyttelse ser ud.”

Indledende vurderinger viser, at LogPoint-produkter ikke påvirkes af sårbarheden. Vi vil opdatere bloggen i overensstemmelse hermed, efterhånden som vi gennemgår vores vurderinger.

Registrering af Log4Shell-udnyttelse

Administratorer kan bruge Florian Roths sigmaregel til at registrere generiske udnyttelsesforsøg fra webserverlogs.

(user_agent IN ['*${jndi:ldap:/*', '*${jndi:rmi:/*', '*${jndi:ldaps:/*', '*${jndi:dns:/*', '*/$%7bjndi:*', '*%
24%7bjndi:*', '*$%7Bjndi:*', '*%2524%257Bjndi*', '*%2F%252524%25257Bjndi%3A*', '*${jndi:${lower:*', '*${::-
j}${*', '*${jndi:nis*', '*${jndi:nds*', '*${jndi:corba*', '*${jndi:iiop*', '*${${env:BARFOO:-j}*', '*${::-l}${::
-d}${::-a}${::-p}*', '*${base64:JHtqbmRp*']
OR url IN ['*${jndi:ldap:/*', '*${jndi:rmi:/*', '*${jndi:ldaps:/*', '*${jndi:dns:/*', '*/$%7bjndi:*', '*%24%
7bjndi:*', '*$%7Bjndi:*', '*%2524%257Bjndi*', '*%2F%252524%25257Bjndi%3A*', '*${jndi:${lower:*', '*${::-j}${*',
'*${jndi:nis*', '*${jndi:nds*', '*${jndi:corba*', '*${jndi:iiop*', '*${${env:BARFOO:-j}*', '*${::-l}${::-d}${::-
a}${::-p}*', '*${base64:JHtqbmRp*']
OR referer IN ['*${jndi:ldap:/*', '*${jndi:rmi:/*', '*${jndi:ldaps:/*', '*${jndi:dns:/*', '*/$%7bjndi:*', '*%24%
7bjndi:*', '*$%7Bjndi:*', '*%2524%257Bjndi*', '*%2F%252524%25257Bjndi%3A*', '*${jndi:${lower:*', '*${::-j}${*',
'*${jndi:nis*', '*${jndi:nds*', '*${jndi:corba*', '*${jndi:iiop*', '*${${env:BARFOO:-j}*', '*${::-l}${::-d}${::-
a}${::-p}*', '*${base64:JHtqbmRp*'])"

Søgning efter generiske udnyttelsesforsøg i webserverlogs

Modstandere bruger mest bruger brugeragentfeltet til at udnytte Log4Shell. Administratorer skal dog være opmærksomme på, at mønstrene for sårbarheden kan udløses ved, at disse mønstre er til stede i en hvilken som helst streng, der logges af log4j. Forespørgslen skal justeres i overensstemmelse hermed. Der er også adskillige permuteringer, der kan omgå signaturen, som administratorer skal huske, når de bruger detektionen.

“ET-laboratorier har frigivet signaturer til Log4Shell, som administratorer kan udrulle på deres IDS/IPS.”

norm_id IN ["Snort", "SuricataIDS"] message="*CVE-2021-44228*"

“Flere leverandører frigiver IoC’er vedrørende Log4Shell, som administratorer kan bruge til at hjælpe med deres registrering.”

(source_address IN LOG4SHELL_IPS OR destination_address IN LOG4SHELL_IPS)

Ligeledes kan vi gøre det samme med NetLabs IoC’er for Mirai og Muhstik.

(domain IN ["nazi.uy", "log.exposedbotnets.ru"] OR query IN ["nazi.uy", "log.exposedbotnets.ru"]
OR url IN ["http://62.210.130.250/lh.sh", "http://62.210.130.250:80/web/admin/x86_64", "http://62.210.130.250:80
/web/admin/x86", "http://62.210.130.250:80/web/admin/x86_g", "http://45.130.229.168:9999/Exploit.class",
"http://18.228.7.109/.log/log", "http://18.228.7.109/.log/pty1;", "http://18.228.7.109/.log/pty2;", "http://18.
228.7.109/.log/pty3;", "http://18.228.7.109/.log/pty4;", "http://18.228.7.109/.log/pty5;", "http://210.
141.105.67:80/wp-content/themes/twentythirteen/m8", "http://159.89.182.117/wp-content/themes/twentyseventeen
/ldm"])

Vigtigheden af at påvise aktiviteter efter kompromiser

I det nuværende trusselslandskab er det ikke nok, at virksomhedsforsvarere kun er reaktive og stoler på threat intelligence og opdagelser. Defenders bør være proaktive ved at jage efter mistænkelige aktiviteter i deres omgivelser. Selvom forsvarsspillerne ikke opdager den indledende udnyttelse, har de stadig en rimelig chance for at opdage angriberne gennem deres aktiviteter efter kompromis. For startere kan administratorer holde øje med enhver brug af trusselaktørers fælles værktøjer, såsom Cobalt Strike, Tor og PsExec, og hvis de opdages, skal de fortsætte med at bestemme hele killkæden.

LogPoint har flere blogs, der beskriver, hvordan almindelige værktøjer til trusselaktører registreres:
“- Microsoft afslørede, at nogle angribere implementerer Cobalt Strike nyttelaster efter at have udnyttet Log4Shell, så administratorer bør kontrollere, at deres Cobalt Strike-detektioner er opdaterede.”
– Trusselsaktører bruger Tor til anonymitet og til at skjule deres netværkstrafik, så det er vigtigt at tjekke, om Tor bruges idin virksomhed.
– Trusselsaktører anvender møntminerer til pengegevinster som den, der rapporteres af NetLab, så virksomheder er nødt til at jageefter kryptomi.

Angribere elsker at opsætte bagdørens SSH-adgang til systemet ved at tilføje deres offentlige nøgle til filen authorized_keys. Administratorer kan bruge auditerede til at foretage ændringer i deres serveres autoriserede_nøglefil .

norm_id=Unix "process"=audit event_type=SYSCALL command=bash key="ssh_key_monitor"

Muhstik botnet kan opsætte bagdøre og er som tidligere nævnt stadig et af de få botnet der har udnyttet Log4Shell.
Endelig kan vi søge efter unormale serveraktiviteter, såsom udførelse af usædvanlige processer, såsom krøller og wget. Administratorer skal være opmærksomme på, at det kan være nødvendigt at angive en liste afhængigt af miljøet.

norm_id=Unix "process"=audit event_type=PROCTITLE command IN ["*curl*", "*wget*", "*chmod 777*", "*chmod +x*"]

Vi kan ikke understrege værdien af en korrekt implementeret dybdegående forsvarstilgang, som kan hjælpe med at opdage trusler, der er trængt ind i virksomheden, og hvor den indledende detektion ikke havde udløst.

Dybdegående forsvar er nøglen til virksomhedssikkerhed

Det er vigtigt at bemærke, at Log4Shell-sårbarheden ikke er så ligetil at udnytte, som den er at kontrollere for tilstedeværelse, da den succesfulde udnyttelse afhænger af flere faktorer som f.eks. den anvendte JVM-version og konfiguration. Ikke desto mindre bør virksomheder, der bruger sårbare applikationer, gå ud fra, at de er blevet overtrådt, og de bør nemt scanne applikationslogfilerne for eventuelle kompromitterede artefakter. Administratorer bør holde øje med mistænkelig udgående netværkstrafik fra deres sårbare applikationer.

Dybdegående forsvar er stadig den bedst mulige strategi til detektering af Log4Shell-udnyttelse. Massescanningsaktiviteten er allerede startet med møntminearbejdere og botnet. Det er kun et spørgsmål om tid for ransomware-selskaber at tilslutte sig vognen. Virksomhedsforsvarere bør forblive årvågne og bør ikke basere sig på en enkelt detektionsmetode til påvisning af udnyttelse af denne kritiske sårbarhed. Endelig lægger vi vægt på at minde administratorer om hyppigt at kontrollere leverandørernes rådgivning for opdateringer om afhjælpning og programrettelsesstatus for sårbare produkter, der anvendes i deres virksomhed.

Kontakt Logpoint

Kontakt os og lær hvorfor markedsledende firmaer vælger Logpoint:

Kontakt LogPoint

Lær mere om Logpoint

Book en demo
Kundesager
Kunde anmeldelser