v Bhabesh Raj, Associate Security Analyst Engineer och Kennet Harpsøe, Senior Cyber Analyst

Log4Shell-sårbarheten är allvarlig – den är svår att upptäcka, används i många och många program och är det perfekta fordonet för att få in skadlig programvara i nätverket. Det finns inget cyberverktyg som kan skydda ditt företag mot Log4Shell.
En kombination av verktyg och djupförsvar ger organisationer möjlighet att upptäcka aktiviteter efter intrång och sätta stopp för attacken.

Anta att du har blivit övertrampad – vad händer nu?

Den 9 december 2 021 avslöjade Apache en kritisk sårbarhet med fjärrkodexekvering (CVE-2021-44228), även kallad Log4Shell, som påverkar Apache Log4j version 2.0-2.14.1. Log4j är ett populärt loggbibliotek i Java och används i flera företagsapplikationer, bland annat Apache Struts, Flume, Kafka, Flink, Tomcat, Solr och VMware vCenter. På grund av prevalensen av Log4j har försvarare haft svårt att identifiera vilka av deras installerade applikationer som berörs. Försök att utnyttja denna sårbarhet är särskilt svåra att upptäcka eftersom en sträng som kan loggas av log4j kan utlösa sårbarheten. Det kan vara allt från användaragenter till e-postämnesrader. Exploateringen kan t.o.m. utlösas av t.ex. ett sårbart SIEM-system som lagrar loggar med log4j vid ett senare tillfälle.

IT-ytan hos de flesta moderna företag är expansiv och komplex. Det är omöjligt att stoppa eller ens upptäcka all skadlig aktivitet vid ytterkanten, och en del sipprar oundvikligen igenom sprickorna. Säkerhetsteam som ansvarar för stora IT-system bör anta intrång vid hantering av säkerhet. Det kommer att finnas skadlig programvara i ditt system någonstans. Log4Shells bredd och avundsjuka illustrerar denna punkt på ett perfekt sätt. Alla chefer bör fråga sig om de kan upptäcka om angripare använder den skadliga programvaran för att tränga igenom sina system eller inte. En djupförsvarsstrategi är det bästa sättet att agera.

Djupförsvaret analyseras ofta genom linsen i Lockheed-Martin cyber kill chain eller Mitre ATT&CK-ramverket,som i princip båda säger ATT en framgångsrik cyberattack måste gå igenom en serie konceptuellt väldefinierade steg. I fallet med Log4Shell kan angripare använda den för att etablera initial åtkomst och installera skadlig programvara som Cobalt Strike, och sannolikt kommer den initiala åtkomsten att ske på en internetansluten maskin som en Apache HTTP-webbserver. De följande stegen efter den första åtkomsten är uthållighet och förflyttning i sidled. Med hjälp av en djupförsvarsstrategi är säkerhetscheferna rustade att fråga hur väl de omfattas för att upptäcka denna typ av aktiviteter. Det kan till exempel vara vettigt att upptäcka persistens med värdagenter som rapporterar tillbaka till SIEM och att detektera laterala rörelser med ett nätverksdetekteringssystem som rapporterar till SIEM och fastställer baslinjer för vilka maskiner som kommunicerar med vilka maskiner. På så sätt har säkerhetsteamen möjlighet att upptäcka en Apache-webbserver som fungerar som klient med avseende på en domän som gått med i värdskapet bakom den, vilket skulle vara mycket misstänkt med tanke på Log4Shells natur. Det lönar sig alltså att lägga tid och pengar på att logga det man vill istället för det man har.

Med en djupförsvarsstrategi och en väl genomtänkt loggningsplan kan säkerhetsledare utöka säkerhetsfunktionerna med ytterligare programvara, som t.ex. analys av användar- och enhetsbeteende (UEBA), som är ML-baserad programvara som automatiskt kan generera baslinjer som den i exemplet ovan. Teams kan också använda lösningar för säkerhetsorkestrering, automatisering och respons (SOAR) för att automatiskt initiera en åtgärd som minskar svarstiden och hjälper till att minska effekterna av en attack, till exempel att automatiskt avskilja anslutningen mellan Apache-webbservern och domänvärden. SOAR kan också meddela en analytiker efter responsåtgärden, vilket ger analytikern relevant information för att undersöka webbservern och huruvida anslutningen ska återupprättas eller inte.

Alla LogPoint-varningar är mappade till MITRE ATT&CK-ramverket, som hjälper säkerhetsanalytiker ATT förstå den aktuella säkerhetsinställningens prioritetsvarningar.

Vad vi vet om Log4Shell

Chen Zhaojun från Alibaba Cloud Security Team rapporterade CVE-2021-44228 (CVSS 10 av 10) till utvecklarna av Log4j den 24 november vilket ledde till att Apache släppte en patch den 6 december. Ett PoC-utnyttjande offentliggjordes den 10 december. Cloudflares VD har sagt att de tidigaste bevisen på exploatering de har hittat hittills är från den 1 december, vilket tyder på att sårbarheten var i vildmarken minst 9 dagar innan den offentliggjordes.

Intressant nog använder Log4Shell JNDI-attackvektorn som tidigare presenterades på BlackHat USA2016. Utnyttjandet av sårbarheten gör det möjligt för en fjärrangripare att exekvera kod i programmet, om den loggar värdet för den angriparlevererade strängen med angriparens JNDI LDAP-serversökning. För att utlösa sårbarheten måste en angripare inkludera en särskild sträng i sina förfrågningar, till exempel i användaragenter,att programmet som använder det sårbara Log4j-biblioteket loggar. Servern skickar sedan en begäran till angriparens adress via JNDI. Angriparens server, t.ex. LDAP, svarar genom att skicka en sökväg till en fjärransluten Java-klassfil som injiceras i den sårbara serverprocessen och kör payload-koden. Dessutom bör administratörer vara medvetna om att hotaktörer kan och  har dumpat hemliga data från miljövariabler, som AWS hemliga nycklar, för att äventyra molnet.

Deutsche Telekom CERT har rapporterat försök till exploatering som härrör från Tor-nätverket. Den 10 december avslöjade Imperva att de hade observerat upp till 1,4 miljoner attacker som riktade sig mot CVE-2021-44228 med toppar som nådde ungefär 280 000 attacker per timme. Cloudflare rapporterade också att de hade blockerat en topp på 20 000 exploateringsförfrågningar per minut med omkring 200-400 IP-adresser som verkar vara aktivt skannade vid varje given tidpunkt.

Stora leverantörer som Cisco, VMware, SonicWall, Okta och RedHat undersöker vilka av deras produkter som berörs. LogPoint rekommenderar administratörer att regelbundet kontrollera råden när de uppdateras av respektive leverantör. Administratörer kan dock använda Canary-tokens för att testa om Log4Shell är sårbart i deras applikationer.

Microsoft har observerat angripare som tappar Cobalt Strike-beacons genom att utnyttja Log4Shell. Säkerhetsforskaren Markus Neis twittrade om att han förutom myntgruvarbetare ser Muhstik och Mirai släppas som nyttolaster av Log4Shell exploatering. Administratörer kan titta på basen64 nyttolaster som frisläppts av GreyNoise för att se hur Log4Shell exploatering i det vilda systemet ser ut.

Initiala bedömningar visar att LogPoint-produkter inte påverkas av sårbarheten. Vi kommer att uppdatera bloggen i enlighet med detta när vi går igenom våra bedömningar.

Upptäcka Log4Shell exploatering

Administratörer kan använda Florian Roths sigmaregel för att upptäcka generiska exploateringsförsök från webbserverloggar.

(user_agent IN ['*${jndi:ldap:/*', '*${jndi:rmi:/*', '*${jndi:ldaps:/*', '*${jndi:dns:/*', '*/$%7bjndi:*', '*%
24%7bjndi:*', '*$%7Bjndi:*', '*%2524%257Bjndi*', '*%2F%252524%25257Bjndi%3A*', '*${jndi:${lower:*', '*${::-
j}${*', '*${jndi:nis*', '*${jndi:nds*', '*${jndi:corba*', '*${jndi:iiop*', '*${${env:BARFOO:-j}*', '*${::-l}${::
-d}${::-a}${::-p}*', '*${base64:JHtqbmRp*']
OR url IN ['*${jndi:ldap:/*', '*${jndi:rmi:/*', '*${jndi:ldaps:/*', '*${jndi:dns:/*', '*/$%7bjndi:*', '*%24%
7bjndi:*', '*$%7Bjndi:*', '*%2524%257Bjndi*', '*%2F%252524%25257Bjndi%3A*', '*${jndi:${lower:*', '*${::-j}${*',
'*${jndi:nis*', '*${jndi:nds*', '*${jndi:corba*', '*${jndi:iiop*', '*${${env:BARFOO:-j}*', '*${::-l}${::-d}${::-
a}${::-p}*', '*${base64:JHtqbmRp*']
OR referer IN ['*${jndi:ldap:/*', '*${jndi:rmi:/*', '*${jndi:ldaps:/*', '*${jndi:dns:/*', '*/$%7bjndi:*', '*%24%
7bjndi:*', '*$%7Bjndi:*', '*%2524%257Bjndi*', '*%2F%252524%25257Bjndi%3A*', '*${jndi:${lower:*', '*${::-j}${*',
'*${jndi:nis*', '*${jndi:nds*', '*${jndi:corba*', '*${jndi:iiop*', '*${${env:BARFOO:-j}*', '*${::-l}${::-d}${::-
a}${::-p}*', '*${base64:JHtqbmRp*'])"

Söka efter generiska exploateringsförsök i webbserverloggar

Annonsörer använder oftast användaragentfältet för att utnyttja Log4Shell. Administratörer bör dock notera att sårbarhetsmönstren kan utlösas av att dessa mönster finns i alla strängar som loggas av log4j. Frågan bör justeras i enlighet med detta. Det finns också ett antal permutationer som kringgår signaturen, vilka administratörer bör tänka på när de använder detekteringen.

ET labs har frisläppt signaturer för Log4Shell som administratörer kan driftsätta på sina IDS/IPS.

norm_id IN ["Snort", "SuricataIDS"] message="*CVE-2021-44228*"

Flera leverantörer släpper IoC:er om Log4Shell som administratörer kan använda för att hjälpa till att upptäcka dem.

(source_address IN LOG4SHELL_IPS OR destination_address IN LOG4SHELL_IPS)

På samma sätt kan vi göra detsamma med NetLabs IoC för Mirai och Muhstik.

(domain IN ["nazi.uy", "log.exposedbotnets.ru"] OR query IN ["nazi.uy", "log.exposedbotnets.ru"]
OR url IN ["http://62.210.130.250/lh.sh", "http://62.210.130.250:80/web/admin/x86_64", "http://62.210.130.250:80
/web/admin/x86", "http://62.210.130.250:80/web/admin/x86_g", "http://45.130.229.168:9999/Exploit.class",
"http://18.228.7.109/.log/log", "http://18.228.7.109/.log/pty1;", "http://18.228.7.109/.log/pty2;", "http://18.
228.7.109/.log/pty3;", "http://18.228.7.109/.log/pty4;", "http://18.228.7.109/.log/pty5;", "http://210.
141.105.67:80/wp-content/themes/twentythirteen/m8", "http://159.89.182.117/wp-content/themes/twentyseventeen
/ldm"])

Vikten av att upptäcka aktiviteter efter intrång

I det nuvarande hotlandskapet räcker det inte att företagets försvarare bara är reaktiva och förlitar sig på hotanalys och detektering. Defenders bör vara proaktiva genom att jaga efter misstänkta aktiviteter i deras omgivning. Även om försvarare inte upptäcker den initiala exploateringen, har de fortfarande en rimlig chans att upptäcka angriparna genom sina aktiviteter efter kompromissen. Till att börja med kan administratörer hålla utkik efter all användning av hotaktörernas gemensamma verktyg, som Cobalt Strike, Tor och PsExec, och om de upptäcks fortsätta att fastställa hela dödskedjan.

LogPoint har flera bloggar som beskriver hur man upptäcker vanliga hotaktörsverktyg:
”- Microsoft avslöjade att vissa angripare distribuerar nyttolaster av Cobalt Strike efter att ha utnyttjat Log4Shell, så administratörer bör kontrollera att deras Cobalt Strike-detekteringar är uppdaterade.”
– Hotaktörer använder Tor för anonymitet och för att dölja nätverkstrafiken, så det är viktigt att kontrollera om Tor används iditt företag.
– Hotaktörer använder myntgruvearbetare för att få penningvinster, som den som rapporteras av NetLab, så företagen måste sökakryptering.

Angripare älskar att ställa in SSH-åtkomst till systemet via bakdörren genom att lägga till sin publika nyckel i filen Auktoriserade_nycklar. Administrat rer kan anv nda granskade f r att vervaka ndringar i filen authorised_keys p sina servrar.

norm_id=Unix "process"=audit event_type=SYSCALL command=bash key="ssh_key_monitor"

Muhstik botnet kan sätta upp bakdörrar, och som tidigare nämnts är det fortfarande en av få botnets som har utnyttjat Log4Shell.
Slutligen kan vi leta efter avvikande serveraktiviteter, som exekvering av ovanliga processer, som lockning och wget. Administratörer bör vara medvetna om att det kan krävas listning beroende på miljön.

norm_id=Unix "process"=audit event_type=PROCTITLE command IN ["*curl*", "*wget*", "*chmod 777*", "*chmod +x*"]

Vi kan inte understryka värdet av en korrekt implementerad djupförsvarsstrategi, som kan hjälpa till att upptäcka hot som har penetrerat företaget och där den initiala detekteringen inte hade utlösts.

Djupförsvar är nyckeln till företagssäkerhet

Det är viktigt att notera att Log4Shell-sårbarheten inte är lika enkel att utnyttja som det är att kontrollera om den finns, eftersom den framgångsrika exploateringen beror på flera faktorer, som den JVM-version och konfiguration som används. Företag som använder sårbara applikationer bör dock utgå från att de är överträdelser och bör snabbt söka igenom applikationsloggarna efter eventuella kompromissartefakter. Administratörer bör hålla utkik efter misstänkt utgående nätverkstrafik från sina sårbara applikationer.

Djupförsvaret är fortfarande den bästa möjliga strategin för att upptäcka Log4Shell-exploatering. Massskanning har redan inletts med myntgruvearbetare och botnät som redan ansluter till festen. Det är bara en fråga om tid för ransomware-medlemmar att ansluta sig till bandwagon. Företagsförsvarare bör vara vaksamma och bör inte förlita sig på en enda detekteringsmetod för att upptäcka exploatering av denna kritiska sårbarhet. Slutligen vill vi påminna administratörerna om att regelbundet kontrollera leverantörernas rekommendationer för uppdateringar om riskreducering och patchstatus för sårbara produkter som distribueras i deras företag.

Kontakt Logpoint

Kontakt os og lær hvorfor markedsledende firmaer vælger Logpoint:

Kontakt LogPoint

Learn more about Logpoint

Boka en demo
Kundcase
Recensioner