v Bhabesh Raj, Associate Security Analyst Engineer og Kennet Harpsøe, Senior Cyber Analyst

Sårbarheten i Log4Shell er alvorlig – den er vanskelig å oppdage, brukes i mange programmer og er den perfekte bilen for å få skadelig programvare inn i nettverket ditt. Det finnes ingen nettverktøy som kan beskytte bedriften din mot Log4Shell.
En kombinasjon av verktøy og en dyptgående tankegang vil gi organisasjonene muligheten til å oppdage kompromitterende aktivitet og sette en stopper for angrepet.

Anta at du har blitt overtrådt – hva skjer videre?

9. desember 2021 avslørte Apache en kritisk sårbarhet ved utføring av ekstern kode (CVE-2021-44228), også kjent som Log4Shell, som påvirker Apache Log4j versjon 2.0-2.14.1. Log4j er et populært loggbibliotek i Java og brukes i flere virksomhetsapplikasjoner, blant annet Apache Struts, Flume, Kafka, Flink, Tomcat, Solr og VMware vCenter. På grunn av utbredelsen av Log4j har forsvarere vært i ferd med å finne ut hvilke av applikasjonene de har distribuert som er berørt. Forsøk på å utnytte denne sårbarheten er spesielt vanskelig å oppdage fordi enhver streng som kan bli logget av log4j kan utløse sårbarheten. Det kan være alt fra brukeragentstrenger til e-postemnelinjer. Utnyttingen kan til og med utløses nedover linjen ved for eksempel et sårbart SIEM-system som lagrer logger ved hjelp av log4j på et senere tidspunkt.

IT-overflaten i de fleste moderne bedrifter er ekspansiv og kompleks. Det er umulig å stoppe eller til og med oppdage all skadelig aktivitet i utkanten, og noen vil uunngåelig sive gjennom sprekkene. Sikkerhetsteam som er ansvarlige for store IT-systemer, bør påta seg brudd når de håndterer sikkerhet. Det vil være skadelig programvare i systemet ditt et eller annet sted. Bredden og unnvikelsen i Log4Shell illustrerer dette punktet perfekt. Alle ledere bør spørre seg selv om de vil være i stand til å oppdage om angripere bruker skadevaren til å trenge inn i systemene sine. En dyptgående forsvarsstrategi er den beste måten å respondere på.

Forsvar i dybden analyseres ofte gjennom linsen til Lockheed-Martin cyber kill chain eller Mitre ATT&CK-rammeverket,som i hovedsak begge sier at ethvert vellykket cyberangrep må gå gjennom en serie konseptuelt veldefinerte trinn. For Log4Shell kan angripere bruke den til å etablere første tilgang og installere skadelig programvare som Cobalt Strike, og sannsynligvis vil den første tilgangen være på en maskin som vender mot Internett, som en Apache HTTP-webserver. De neste trinnene etter første gangs tilgang er utholdenhet og sideveis bevegelse. Sikkerhetsledere bruker en dyptgående strategi til å spørre hvor godt de er dekket for å oppdage denne typen aktiviteter. Det kan for eksempel være fornuftig å oppdage utholdenhet med vertsagenter som rapporterer tilbake til SIEM og detektere lateral bevegelse med et nettverksdeteksjonssystem som rapporterer til SIEM og etablerer vektorer for hvilke maskiner som kommuniserer med hvilke maskiner. På denne måten har sikkerhetsteamene muligheten til å avdekke en Apache-webserver som fungerer som klient med hensyn til et domene som er knyttet til verten bak den, noe som ville være svært mistenkelig på grunn av Log4Shells natur. Det lønner seg med andre ord å bruke tid og penger på å loggføre det du vil i stedet for det du har.

Med en dyptgående strategi og et gjennomtenkt loggføringsregime, kan sikkerhetsledere utvide sikkerhetsfunksjonene med ytterligere programvare, som bruker- og enhetsatferdsanalyser (UEBA), som er ML-basert programvare som automatisk kan generere vektorer som i eksempelet ovenfor. Teams kan også bruke løsninger for sikkerhetsorkestrering, automatisering og respons (SOAR) for å automatisk starte en handling for å redusere responstiden og bidra til å redusere virkningen av et angrep, for eksempel ved å automatisk skille forbindelsen mellom Apache-webserveren og domeneverten. SOAR kan også varsle en analytiker etter tiltaket og gi analytikeren relevant informasjon for å undersøke webserveren og om forbindelsen bør gjenopprettes eller ikke.

Alle LogPoint-varsler er tilordnet MITRE ATT&CK-rammeverket, som hjelper sikkerhetsanalytikere med å forstå den nåværende sikkerhetssituasjonen med å prioritere varsler.

Hva vi vet om Log4Shell

Chen Zhaojun fra Alibaba Cloud Security Team rapporterte CVE-2021-44228 (CVSS 10 av 10) til Log4j-utviklerne den 24. november og førte til at Apache slapp ut en patch den 6. desember. En PoC-utnytting ble offentliggjort den 10. desember. Cloudflares administrerende direktør har sagt at det tidligste beviset på utnyttelse de har funnet så langt, er fra 1. desember, noe som tyder på at sårbarheten var i naturen minst 9 dager før den ble offentliggjort.

Det er interessant at Log4Shell bruker JNDI-angrepsvektoren som tidligere ble presentert på BlackHat USA2016. Utnyttelse av sårbarheten gjør det mulig for en ekstern angriper å utføre kode på applikasjonen hvis den logger den angriperleverte strengverdien med angriperens JNDI LDAP-serveroppslag. For å utløse sårbarheten må en angriper inkludere en bestemt streng i forespørslene sine, for eksempel i brukeragenter,som programmet som bruker det sårbare Log4j-biblioteket vil logge. Serveren sender deretter en forespørsel til angriperens adresse via JNDI. Angriperens server, for eksempel LDAP, svarer ved å sende en bane til en ekstern Java-klassefil som blir injisert i den sårbare serverprosessen og kjører nyttelastkoden. I tillegg må administratorer være klar over at trusselaktører kan og  har dumpet hemmelige data fra miljøvariabler, som AWS hemmelige nøkler, for å kompromittere skyen.

Deutsche Telekom CERT har rapportert utnyttelsesforsøk fra Tor-nettverket. 10. desember offentliggjorde Imperva at de hadde observert 1,4 millioner angrep rettet mot CVE-2021-44228, med topper som nådde omtrent 280 000 angrep per time. Cloudflare rapporterte også at de har blokkert en topp på 20 000 utnyttelsesforespørsler per minutt, med rundt 200-400 IP-adresser som ser ut til å være aktivt skannet til enhver tid.

Store leverandører som Cisco, VMware, SonicWall, Okta og RedHat undersøker hvilke av produktene som er berørt. LogPoint anbefaler administratorer å kontrollere veiledningene regelmessig etter hvert som de blir oppdatert av de respektive leverandørene. I mellomtiden kan administratorer bruke Canary-tokener til å teste om Log4Shell-sårbarheten er til stede i applikasjonene.

Microsoft har observert angripere som slipper Cobalt Strike-fyrtårn ved å utnytte Log4Shell. Sikkerhetsforsker Markus Neis tvitret at i tillegg til myntutvinnere, ser han at Muhstik og Mirai slippes som nyttelaster av Log4Shell-utnyttelsen. Administratorer kan se på base64-nyttelastene som er frigitt av GreyNoise for å finne ut hvordan den ville Log4Shell-utnyttelsen ser ut.

Innledende vurderinger viser at LogPoint-produkter ikke påvirkes av sårbarheten. Vi oppdaterer bloggen etter hvert som vi går videre gjennom evalueringene våre.

Oppdager Log4Shell-utnyttelse

Administratorer kan bruke Florian Roths sigmaregel til å oppdage generiske utnyttelsesforsøk fra webserverlogger.

(user_agent IN ['*${jndi:ldap:/*', '*${jndi:rmi:/*', '*${jndi:ldaps:/*', '*${jndi:dns:/*', '*/$%7bjndi:*', '*%
24%7bjndi:*', '*$%7Bjndi:*', '*%2524%257Bjndi*', '*%2F%252524%25257Bjndi%3A*', '*${jndi:${lower:*', '*${::-
j}${*', '*${jndi:nis*', '*${jndi:nds*', '*${jndi:corba*', '*${jndi:iiop*', '*${${env:BARFOO:-j}*', '*${::-l}${::
-d}${::-a}${::-p}*', '*${base64:JHtqbmRp*']
OR url IN ['*${jndi:ldap:/*', '*${jndi:rmi:/*', '*${jndi:ldaps:/*', '*${jndi:dns:/*', '*/$%7bjndi:*', '*%24%
7bjndi:*', '*$%7Bjndi:*', '*%2524%257Bjndi*', '*%2F%252524%25257Bjndi%3A*', '*${jndi:${lower:*', '*${::-j}${*',
'*${jndi:nis*', '*${jndi:nds*', '*${jndi:corba*', '*${jndi:iiop*', '*${${env:BARFOO:-j}*', '*${::-l}${::-d}${::-
a}${::-p}*', '*${base64:JHtqbmRp*']
OR referer IN ['*${jndi:ldap:/*', '*${jndi:rmi:/*', '*${jndi:ldaps:/*', '*${jndi:dns:/*', '*/$%7bjndi:*', '*%24%
7bjndi:*', '*$%7Bjndi:*', '*%2524%257Bjndi*', '*%2F%252524%25257Bjndi%3A*', '*${jndi:${lower:*', '*${::-j}${*',
'*${jndi:nis*', '*${jndi:nds*', '*${jndi:corba*', '*${jndi:iiop*', '*${${env:BARFOO:-j}*', '*${::-l}${::-d}${::-
a}${::-p}*', '*${base64:JHtqbmRp*'])"

Søker etter generiske utnyttelsesforsøk i webserverlogger

Inntrengere bruker for det meste brukeragentfeltet for å utnytte Log4Shell. Administratorer bør imidlertid være oppmerksom på at sårbarhetsmønstrene kan utløses av at disse mønstrene finnes i enhver streng som logges av log4j. Spørringen bør justeres tilsvarende. Det finnes også en rekke permutasjoner for å omgå signaturen, som administratorer bør huske på når de bruker oppdagelsen.

“ET-laboratoriene har utgitt signaturer for Log4Shell, som administratorer kan distribuere på IDS/IPS-systemet.”

norm_id IN ["Snort", "SuricataIDS"] message="*CVE-2021-44228*"

“Flere leverandører utgir IoCs angående Log4Shell, som administratorer kan bruke til å hjelpe til med deteksjonen.”

(source_address IN LOG4SHELL_IPS OR destination_address IN LOG4SHELL_IPS)

På samme måte kan vi gjøre det samme ved hjelp av NetLabs IoC for Mirai og Muhstik.

(domain IN ["nazi.uy", "log.exposedbotnets.ru"] OR query IN ["nazi.uy", "log.exposedbotnets.ru"]
OR url IN ["http://62.210.130.250/lh.sh", "http://62.210.130.250:80/web/admin/x86_64", "http://62.210.130.250:80
/web/admin/x86", "http://62.210.130.250:80/web/admin/x86_g", "http://45.130.229.168:9999/Exploit.class",
"http://18.228.7.109/.log/log", "http://18.228.7.109/.log/pty1;", "http://18.228.7.109/.log/pty2;", "http://18.
228.7.109/.log/pty3;", "http://18.228.7.109/.log/pty4;", "http://18.228.7.109/.log/pty5;", "http://210.
141.105.67:80/wp-content/themes/twentythirteen/m8", "http://159.89.182.117/wp-content/themes/twentyseventeen
/ldm"])

Viktigheten av å oppdage post-kompromis aktivitet

I dagens trussellandskap er det ikke nok at bedriftenes forsvarere bare er reaktive og stoler på trusseletterretning og -påvisninger. Defenders bør være proaktive ved å jakte på mistenkelig aktivitet i omgivelsene. Selv om forsvarerne ikke oppdager den første utnyttelsen, har de likevel en rimelig sjanse til å oppdage angriperne gjennom deres post-kompromiterte aktiviteter. Administratorer kan for første gang se etter all bruk av trusselaktørenes vanlige verktøy, som Cobalt Strike, Tor og PsExec, og hvis det oppdages, fortsette å bestemme hele kill chain.

LogPoint har flere blogger som beskriver hvordan man oppdager vanlige trusselaktørverktøy:
“- Microsoft offentliggjorde at noen angripere bruker Cobalt Strike-nyttelast etter å ha utnyttet Log4Shell, så administratorer bør sjekke at Cobalt Strike-påvisningene er oppdatert.”
– Trusselaktører bruker Tor til anonymitet og til å skjule nettverkstrafikken, så det er viktig å sjekke for Tors bruk i dinvirksomhet.
– Trusselaktører bruker myntutvinnere til pengegevinster, som den som rapporteres av NetLab, så bedrifter må jaktepå kryptomi.

Angripere elsker å sette opp SSH-tilgang til systemet ved å legge til fellesnøkkelen i filen authorized_keys. Administratorer kan bruke kontrollerte endringer i filen authorized_keys på serverne sine.

norm_id=Unix "process"=audit event_type=SYSCALL command=bash key="ssh_key_monitor"

Muhstik botnet kan sette opp bakdører, og som nevnt tidligere er det fortsatt et av de få botnetene som har utnyttet Log4Shell.
Til slutt kan vi se etter unormale serveraktiviteter, som utførelse av uvanlige prosesser, som krøller og “”wget””. Administratorer bør være oppmerksom på at det kan være nødvendig med tillatelsesliste, avhengig av miljøet.

norm_id=Unix "process"=audit event_type=PROCTITLE command IN ["*curl*", "*wget*", "*chmod 777*", "*chmod +x*"]

Vi kan ikke understreke verdien av en riktig implementert forsvarstilnærming, noe som kan bidra til å oppdage trusler som har trengt inn i virksomheten og hvor den første deteksjonen ikke hadde utløst.

Forsvar i dybden er nøkkelen til bedriftssikkerhet

Det er viktig å merke seg at Log4Shell-sårbarheten ikke er like enkel å utnytte som den er å kontrollere for tilstedeværelsen, siden den vellykkede utnyttelsen avhenger av flere faktorer som JVM-versjon og konfigurasjon som brukes. Bedrifter som bruker sårbare applikasjoner bør likevel anta at de er krenket, og bør enkelt skanne programloggene for eventuelle kompromisser. Administratorer bør se etter mistenkelig utgående nettverkstrafikk fra sårbare applikasjoner.

Forsvar i dybden er fortsatt den best mulige strategien for å oppdage utnyttelse av Log4Shell. Masseskanningsaktiviteten har allerede startet med myntutvinnere og botnett som allerede er med i festen. Det er bare et spørsmål om tid for ransomware-partnere å bli med i bandwagon. Bedriftens forsvarere bør være årvåkne, og bør ikke stole på én enkelt deteksjonsmetode for å oppdage utnyttelse av denne kritiske sårbarheten. Til slutt stresser vi med å minne administratorer på å sjekke leverandørenes råd med jevne mellomrom for oppdateringer om reduksjon og oppdateringsstatus for sårbare produkter som distribueres i deres virksomhet.

Kontakt Logpoint

Kontakt os og lær hvorfor markedsledende firmaer vælger Logpoint:

Kontakt LogPoint

Learn more about Logpoint

Bestill en demo
Kundesaker
Kunde anmeldelser