如何透過欺敵技術(Deception Technology)針對Log4j作主動式防禦

Apache Log4j是一個基於Java的紀錄檔記錄工具,保存執行活動的過程,方便在出現問題時進行檢查。幾乎每個網路安全系統都會利用某種日誌框架進行紀錄,使得Log4j這類受歡迎的日誌框架影響廣泛。

Log4Shell(CVE-2021-44228)是Log4j在Java工具中被發現的漏洞,它是Log4j的JNDI API未能驗證遠端攻擊者由惡意LDAP或其他端點發送修改過參數的log訊息。漏洞可利用 JNDI 查找通過 LDAP、RMI 和 DNS 等遠端服務竊取數據或執行任意程式碼,從而使攻擊者可以完全控制易受攻擊的系統。

Log4j被廣泛應用於各種應用程式和網路服務,用於記錄服務中各種系統活動,

可以說是一款無處不在的軟體,Log4Shell這個遠端程式碼碼執行漏洞影響數百萬的消費產品、企業軟體與網頁應用程式,還影響企業網路內部的許多系統,已經出現APT駭客網路在企業內部運用這項漏洞。由於Log4j 也是許多基於 Java 的 OT/ICS 硬體和軟體組件的嵌入式組件。數十億基於 Java 構建的物聯網設備也可能受到影響,許多網路設備也是如此。

該漏洞嚴重到 CISA、FBI 和 NSA 發布聯合公告,指出“Log4j 漏洞對世界各地的組織和政府構成嚴重且持續的威脅;並懇請所有實體立即採取行動,實施最新的緩解指南,以保護其網路”。

Acalvio ShadowPlex 提供主動防禦功能以有效對抗 Log4Shell 漏洞。ShadowPlex 具有以下內置功能:

*提供對 Log4Shell 易受攻擊資產的可見性

*主動保護 Log4Shell 易受攻擊的資產

*生成威脅情資

Visibility可見度

對抗 Log4Shell 漏洞的第一步是受影響系統的可見性。Acalvio ShadowPlex 提供可靠、安全且易於部署的功能,可在您的 IT、雲、物聯網和 OT 環境中自動發現 Log4Shell 易受攻擊的資產。從 ShadowPlex 管理控制台單擊即可發現 Log4Shell 易受攻擊的資產。無需手動撰寫腳本,也不需要雲端setup的服務。

與傳統的漏洞掃描程式不同,Acalvio ShadowPlex 不需要存取資產的檔案系統。Acalvio 的discovery approach適用於任何類型的遠端服務、設備或應用程式,無需任何特殊的資產存取、防火牆更改或敏感的登錄憑證。Acalvio 對Log4Shell 可見度旨在安全地運用於 IT、OT 和 IoT 環境。

Asset Protection資產保護

供應商通常需要時間來建立和測試 Log4Shell 漏洞修補。在 OT/ICS 網路等許多關鍵設施環境中,修補的應用非常具有挑戰性的。Acalvio 提供在易受攻擊的資產上和周邊環境,使用欺敵部署來快速檢測和回應 Log4Shell 漏洞利用嘗試的能力。

攻擊者/惡意軟體需要嘗試利用以確定系統是否易受攻擊。這為利用主動防禦和即時欺敵平台檢測和回應來自組織 IT、OT、IoT 或雲端環境內部的攻擊企圖提供了絕佳的機會。

Generate Threat Intelligence生成威脅情資

可以利用 Acalvio ShadowPlex 平台使用欺敵技術生成威脅情資。威脅情資專門針對 Log4Shell 漏洞利用,包括新的混淆技術和可以阻擋由攻擊者控制的 IP。這樣的威脅情資對 MDR 解決方案和大型企業非常有用,可以領先於快速發展的 Log4Shell 漏洞利用嘗試。

ShadowPlex 提供全面的主動防禦解決方案來抵禦Log4Shell漏洞,提供受影響系統的更高的可見性和不需要signatures有效基於欺敵的檢測。這些功能包含在 ShadowPlex 解決方案中,無需額外費用即可使用。

Acalvio是第一個也是目前唯一一個獲得 FedRAMP Ready資格的欺敵技術廠商,同時也榮獲KuppingerCole評選為欺敵技術(Deception technology)領導廠商,Acalvio 取得FedRAMP 與KuppingerCole的認可,證明了客戶在企業範圍內部署 Acalvio時,無需額外的保護措施。

美國CISA發布”Log4j-Scanner”掃描工具以識別受 Apache Log4j漏洞影響的Web服務;美國CISA、FBI、國安局和五眼聯盟同時發布旨在減緩 Log4Shell攻擊的指南

美國網路安全及基礎設施安全局(CISA)發布了一個開源的掃描工具(Scanner),企業可以使用它來查找易受Log4j漏洞CVE-2021-44228 和 CVE-2021-45046 攻擊的Web 服務,名為Log4jScanner的掃描器在Github存儲庫上,為log4j 遠端程式碼執行漏洞(CVE-2021-44228 和 CVE-2021-45046)提供了掃描解決方案,Log4j-scanner是CISA的快速行動小組和開源社區的成員衍生出來的一個項目,該存儲庫中的資訊和程式碼是“按原樣”提供的。

CISA 在log4j-scanner 的項目頁面上強調了以下功能:

*支援lists of URLs

*對 60 多個 HTTP Request Headers進行模糊測試

*對 HTTP POST 數據參數進行模糊測試

*對 JSON 數據參數進行模糊測試

*支援用於漏洞發現和驗證的 DNS callback

*繞過WAF的有效載荷

同時,網路安全和基礎設施安全局 (CISA)、聯邦調查局 (FBI)、國家安全局 (NSA)、澳洲網路安全中心 (ACSC)、加拿大網路安全中心 (CCCS)、新西蘭電腦危機處理應急小組(CERT NZ)、新西蘭國家網路安全中心 (NZ NCSC) 和英國國家網路安全中心 (NCSC-UK) 發布了聯合諮詢,以提供有關解決 CVE-2021-44228、CVE-2021-45046 和 CVE-2021-45105 的Log4j漏洞緩解指南。“CISA 主任Jen Easterly聲明中說,Log4j 漏洞對世界各地的組織和政府構成了嚴重且持續的威脅;我們懇請所有實體立即採取行動,實施最新的緩解指南,以保護他們的網路。”

據了解,指南側重於保護面向 Internet 的設備和系統免受與 Log4Shell 相關的攻擊。然而, Java 在 IT 和 OT 系統中也無處不在,未分段的網路存在入侵者在系統之間橫向移動的風險。該警報警告組織將任何使用 Log4j 的產品視為可疑產品,並保留詳細的修補記錄以監控異常行為。

CISA、五眼聯盟評估對這些漏洞的利用,尤其是 Log4Shell,可能會持續增加並

維持很長一段時間,它們強烈敦促所有組織應用這些建議,以識別、減輕和更新受影響的資產。

Apache軟體基金會釋出Log4j 的2.17版為目前最新的修補,建議使用Log4j框架者立即下載更新。

有關Apache Log4j重大的漏洞 Log4Shell的更新的入侵指標(Indicator of compromise -IOCs):

Hostname:

agent.apacheorg.xyz

URLs:

http://agent.apacheorg.xyz:1234/v

http://93.189.42.8/kinsing

http://92.242.40.21/lh2.sh

http://82.118.18.201/kinsing

http://45.137.155.55/kinsing2

http://45.137.155.55/kinsing

http://80.71.158.44/kinsing

http://198.98.60.67/lh.sh

http://185.250.148.157:8005/index

SHA 256:

f2e3f685256e5f31b05fc9f9ca470f527d7fdae28fa3190c8eba179473e20789

f059246cea87a886acb1938809cf4a1152247a5b5a2df0b1bf64c46a0daccbcc

e9744244461056c64fc390591729c035f3a375bc8ecfa1a0c111defa055c1273

e8b2a8d0c3444c53f143d0b4ba87c23dd1b58b03fd0a6b1bcd6e8358e57807f1

e7c5b3de93a3184dc99c98c7f45e6ff5f6881b15d4a56c144e2e53e96dcc0e82

bd5006ba4e4cfcf8a8b0b6da5bb30f4dd8a78beb351b814431ae8599dcf23f1b

bcfdddb033fb1fa9c73e222919ecd4be071e87b0c54825af516b4f336bc47fa2

95ac2e2cd2caf30829a9588988601067a98f9bb02e0776a8ef2b813f9b4d8992

8933820cf2769f6e7f1a711e188f551c3d5d3843c52167a34ab8d6eabb0a63ef

86fc70d24f79a34c46ef66112ef4756639fcad2f2d7288e0eeb0448ffab90428

86fc70d24f79a34c46ef66112ef4756639fcad2f2d7288e0eeb0448ffab90428

7e9663f87255ae2ff78eb882efe8736431368f341849fec000543f027bdb4512

SHA1:

f568eb59fd37b2fe37db730292594d875d3a11e8

c927738922b87802cc75697dd99dd8c7d8cfdf1e

b21aa1107ecc79f4ad29f68a026a02e2abc952ef

9edd5d86fbb0236625c1c533e85d2fe76901979f

8d692f73e5b6c3309568a3f488a93f8685c6661a

8611063eefa5cc2bbec29870fb56779192eed454

82d984fcbf4f8bc8ffbad29e3f3cc4cfac70d8d4

其他相關Log4j的報導:

專家警告說,駭客火力全開積極利用第二個Log4j的漏洞,然而第三個漏洞也出現了!

Photo credit : the hacker news

資安公司 Cloudflare 警告,攻擊者正積極嘗試利用第二個Log4j的漏洞(CVE-2021-45046, CVE-2021-45046 的 CVSS 得分為 3.7,影響從 2.0-beta9 到 2.12.1 和 2.13.0 到 2.15.0(已發布以修補 CVE-2021-44228)的 Log4j 版本。可使攻擊者有進行分散式阻斷服務攻擊(DDoS),建議用戶必須迅速採取行動安裝最新版本,因為一連串的攻擊繼續攻擊未修補的系統各種惡意軟體。

Cloudflare認為即使之前已經更新到 2.15.0的 Log4j 版本,現在也應該盡快更新到 2.16.0 版本。2.16.0版本取消對訊息查找模式的支援並默認禁用 JNDI 功能來解決 CVE-2021-45046。

但更令人不安的是,緊隨 CVE-2021-45046 之後,根據資安公司 Praetorian 的研究人員警告說,發現2.15.0的 Log4j 版本中存在第三個單獨的安全漏洞,該漏洞可以在某些情況下洩露敏感數據。該漏洞的其他技術細節已被保留以防止進一步利用,但目前尚不清楚這是否已在 2.16.0 版中解決。目前Praetorian已將該問題的技術細節滙報給Apache軟體基金會。

全球基礎設施持續受到攻擊,已記錄了超過180 萬次嘗試Log4j 漏洞的利用,微軟研究人員報告說,來自中國、伊朗、北韓和土耳其的國家級駭客正在他們的活動中濫用Log4J的Log4Shell漏洞 (CVE-2021-44228)。據了解,一些利用該漏洞的組織是與中國有關的 Hafnium駭客組織和與伊朗有關的 Phosphorus駭客組織,前者利用該漏洞攻擊虛擬化基礎設施,後者部署勒索軟體。

微軟專家還表示,多個訪問代理已經開始使用 Log4Shell 漏洞來獲得對目標網絡的初始訪問權限,然後將其出售給勒索軟體即服務的附屬公司。

微軟專家還表示,多個access broker駭客服務業者已經開始使用Log4Shell漏洞來獲取對目標網路的初始存取權,然後將其出售給勒索軟體附屬會員。

專家建議立即安裝 Log4j的2.16.0 版本

其他相關Log4j的報導:

駭客利用 Apache Log4j 中的重大風險漏洞來植入勒索軟體、Web Shell 和後門, CISA下令聯邦機構在平安夜前完成修補受Log4Shell漏洞影響的系統

隨著 Log4j攻擊活動的增加,CrowdStrike週二表示,觀察到有一個伊朗國家級的駭客組織NEMESIS KITTEN正瞄準Log4Shell漏洞並部署到一個可以由伺服器觸發Log4j的類檔,另外Bitdefender 也表示,其研究人員已經觀察到攻擊者試圖利用該漏洞來分發名為Khonsari的新型勒索軟體。此攻擊涉及使用惡意 .NET 檔,該檔案一旦執行,就會列出易受攻擊系統上的所有硬碟,並對除C槽之外的所有硬碟進行加密,然而會在C槽中加密特定的檔案夾,包括文檔、視頻和下載。除了勒索軟體,Bitdefender還觀察到攻擊者試圖在企業網路的易受攻擊系統上部署一種名為 Orcus 的已知遠端存取木馬(RAT)。Bitdefender進一步說,攻擊者使用這種技術在系統中站穩腳跟,在這些易受攻擊的伺服器上部署反向Bash shell相對簡單,並且很可能在未來進行更全面的攻擊。

因Log4j中的漏洞被攻擊的設備種類–Photo Credit: Armis

與此同時,物聯網安全供應商 Armis 發現目標設備(上圖)的種類涵蓋各種設備,攻擊活動針對伺服器佔 42%,虛擬機佔 27%,連接互聯網的攝像機佔 12%。Armis 還發現了針對 HMI 面板和控制器等製造設備以及考勤系統的攻擊企圖。

Check Point的研究,試圖利用該漏洞的攻擊數量持續上升,從 12 月 11 日的 40,000 次攻擊到 12 月 13 日的超過 800,000 次攻擊,用於利用該漏洞的變種數量也增加到60個。對於攻擊者來說,該漏洞提供了一個幾乎前所未有的機會,可以嘗試攻擊和破壞全球數十億台設備。Akamai 是跟踪攻擊活動的幾家供應商之一,週二表示,它已經觀察到多個變體試圖以每小時250,000個漏洞利用請求的持續攻擊量來利用該漏洞。Akamai 表示,迄今為止,超過 50% 的攻擊來自已知的威脅行為者,並且新的漏洞利用變體的發展速度是前所未有

由於攻擊的數量加上漏洞的嚴重性,促使美國國土安全部的網路安全和基礎設施局(CISA)發出多次警告,並下令所有聯邦機構在 12 月 24 日之前完成修補漏洞。Log4j的2.15.10版本中的修補程式解決了常見漏洞和披露資料庫中已知的 CVE-2021-44228 漏洞。CISA 指出 ,要修補使用受影響版本的 Log4j 的產品和服務中的漏洞,這些產品和服務的維護人員必須實施此安全更新。該機構敦促供應商立即識別、緩解和修補受Log4j影響的產品,將包含該漏洞的產品告知最終用戶,並強烈敦促他們優先考慮軟體更新。據了解,如果無法更新,在 Log4j 配置中將log4j2.formatMsgNoLookups 選項設置為true也可以防止漏洞利用。

另外,如果您想查看資安供應商的產品是否仍然是易受攻擊,或使用易受攻擊版本的Log4j,或已完成修補,可參考以下連結:

https://www.techsolvency.com/story-so-far/cve-2021-44228-log4j-log4shell/

有關Log4j漏洞的Indicators of Compromise (IOCs):

Hostname:

vyvdsvh.x.i.yunzhanghu.co

lnc7vvhztmjdfm221sdp76xnze5atz.burpcollaborator.net

jjug8i.xaliyun.com

e86eafcf9294.bingsearchlib.com

4568-3409-8076-3389.service.exfil.site

3be6466b6a20.bingsearchlib.com

0384eb5a.probe001.log4j.leakix.net

SHA 256:

fe98548300025a46de1e06b94252af601a215b985dad31353596af3c1813efb0

e20806791aeae93ec120e728f892a8850f624ce2052205ddb3f104bbbfae7f80

c38f0f809a1d8c50aafc2f13185df1441345f83f6eb4ef9c48270b9bd90c6799

c38c21120d8c17688f9aeb2af5bdafb6b75e1d2673b025b720e50232f888808a

c154d739cab62e958944bb4ac5ebad6e965a0442a3f1c1d99d56137e3efa8e40

b55ddbaee7abf1c73570d6543dd108df0580b08f730de299579570c23b3078c0

a3f72a73e146834b43dab8833e0a9cfee6d08843a4c23fdf425295e53517afce

8933820cf2769f6e7f1a711e188f551c3d5d3843c52167a34ab8d6eabb0a63ef

776c341504769aa67af7efc5acc66c338dab5684a8579134d3f23165c7abcc00

6a8965a0f897539cc06fefe65d1a4c5fa450d002d1a9d5d69d2b48f697ee5c05

63d43e5b292b806e857470e53412310ad7103432ba3390ecd4f74e432530a8a9

6370939d4ff51b934b7a2674ee7307ed06111ab3b896a8847d16107558f58e5b

3f6120ca0ff7cf6389ce392d4018a5e40b131a083b071187bf54c900e2edad26

19370ef36f43904a57a667839727c09c50d5e94df43b9cfb3183ba766c4eae3d

0e574fd30e806fe4298b3cbccb8d1089454f42f52892f87554325cb352646049

IPv4:

80.71.158.12

45.137.155.55

109.237.96.124

URL: http://80.71.158.12:5557/Basic/Command/Base64/KGN1cmwgLXMgODAuNzEuMTU4LjEyL2xoLnNofHx3Z2V0IC1xIC1PLSA4MC43MS4xNTguMTIvbGguc2gpfGJhc2g=

MD5:

648effa354b3cbaad87b45f48d59c616

6cead82e17c2dacbb83998cfe3841704

550f9f929bcb99aeaa3821779d8dea62

40e3b969906c1a3315e821a8461216bb

3dfbe75871e218d08328a01c56e1bb42

1db40b7e18cf228169d2f5d73bf27ef7

1348a00488a5b3097681b6463321d84c