Wydarzenia 4
Pl
Wydarzenia 4
Wynik wyszukiwania:
Więcej
Główna Aktualności Jak CrowdStrike chroni klientów przed zagrożeniami związanymi z Log4Shell?
Jak CrowdStrike chroni klientów przed zagrożeniami związanymi z Log4Shell?- image 1
Aktualności CrowdStrike
Opublikowany:

Jak CrowdStrike chroni klientów przed zagrożeniami związanymi z Log4Shell?

  • Log4Shell, najnowsza krytyczna podatność znaleziona w bibliotece Log4j2 Apache Logging Services, stanowi poważne zagrożenie dla organizacji.
  • Aktywne próby wykorzystania tej luki w realnych warunkach sprawiają, że jest to obecnie najpoważniejsze zagrożenie.
  • CrowdStrike wykorzystuje wskaźniki ataków (IOA) i uczenie maszynowe do ochrony swoich klientów.
  • CrowdStrike nadal śledzi rozwój Log4Shell oraz wdraża i aktualizuje wszelkie środki zaradcze potrzebne do ochrony klientów.
  • Organizacjom korzystającym z Log4j2 zdecydowanie zaleca się aktualizację biblioteki do najnowszej wersji Log4j2 (2.16.0), która została opublikowana 14 grudnia 2021 r.
  • Obecnie nie ma potrzeby dokonywania aktualizacji klienta CrowdStrike Falcon, ani podejmowania dodatkowych działań w celu zmniejszenia skutków podatności.

Aby uzyskać dodatkowe informacje, klienci mogą odwiedzić naszą bazę wiedzy.

Ostatnie wnioski zespołu CrowdStrike Intelligence dotyczące Log4Shell (CVE-2021-44228, CVE-2021-45046) świadczą o szerokim wpływie tego typu podatności. CrowdStrike pomaga chronić klientów przed zagrożeniami wynikającymi z istnienia tej luki, wykorzystując takie narzędzia jak uczenie maszynowe oraz wskaźniki ataków (IOA).

Log4Shell to podatność w popularnej bibliotece Java, która jest szeroko stosowana wszędzie: od gier online po infrastrukturę chmurową. CrowdStrike Falcon OverWatch™ zauważył aktywne i ciągłe próby jej wykorzystania przez cyberprzestępców. Motywowani finansowo atakujący szybko zaczęli wykorzystywać publicznie dostępny exploit do wdrażania złośliwego oprogramowania na podatnych systemach docelowych, używając m.in. koparek XMRig, powłok odwrotnych (reverse shell), trojanów zdalnego dostępu i botnetów.

CrowdStrike stosuje różne mechanizmy ochrony klientów przed złośliwym oprogramowaniem wykorzystującym podatność Log4j2. Od momentu wykrycia CVE-2021-44228 narzędzia uczenia maszynowego i IOA w CrowdStrike Falcon zapobiegają działalności przestępców.

CrowdStrike nadal aktywnie monitoruje rozwój Log4Shell i będzie stosować niezbędne środki zaradcze, aby chronić klientów przed złośliwą aktywnością wynikającą z wykorzystania podatności Log4j2.

Wpływ podatności i związane z nią nadużycia

Log4j2 to biblioteka z otwartym kodem źródłowym, która jest częścią usług Apache Logging Services. Napisana w języku Java, jest używana na różnych platformach, takich jak Elasticsearch, Flink i Kafka. Ponieważ Java jest platformą międzyplatformową, podatność Log4j2 nie ogranicza się tylko do aplikacji działających na określonym systemie operacyjnym.

Bez odpowiednich środków zapobiegawczych lub wprowadzenia poprawek, przestępcy mogą wykorzystać podatność do wdrażania złośliwego oprogramowania, wykonywania kodu odwrotnego shell oraz innych działań w atakowanych systemach.

Według danych CrowdStrike Intelligence, przestępcy rozpoczęli aktywne skanowanie i próby wykorzystania luki, kierowane na podatne systemy i usługi, niezależnie od systemu operacyjnego.

Ponieważ Linux odgrywa istotną rolę w infrastrukturze chmurowej, raporty o korzystnych ładunkach, które są wykonywane za pomocą podatności Log4j2, pokazały, że botnety takie jak Mirai i Muhstik rozpoczęły ataki na urządzenia już kilka dni po upublicznieniu luki.

Raporty branżowe świadczą również o innych zagrożeniach skierowanych na systemy operacyjne i frameworki podatne na eksploatację Log4j2, a także na usługi ładunków, takie jak Cobalt Strike i Metasploit, które są wdrażane w celu utworzenia platformy w docelowym środowisku.

Klienci mogą wykorzystać platformę Falcon do wykrywania i śledzenia występowania Log4j2

Moduł Log4j2 jest dostarczany wraz z dużą liczbą pakietów oprogramowania od innych firm. Z tego powodu polowanie na Log4j2 nie będzie takie proste jak znalezienie jego pliku wykonywalnego, jego sumy kontrolnej SHA256 lub ścieżki do pliku. Klienci CrowdStrike Falcon mogą korzystać z gotowych paneli informacyjnych dla wszystkich obsługiwanych systemów operacyjnych, aby wykryć aktywne wykorzystanie luki Log4j2 w swoim środowisku.

<img class=”aligncenter size-full wp-image-5592″ Process Execution”, event_simpleName=”SyntheticProcessRollup2″, „Process Execution”, event_simpleName=”JarFileWritten”, „JAR File Write”, event_simpleName=”NewExecutableWritten”, „EXE File Write”, event_simpleName=”PeFileWritten”, „EXE File Write”, event_simpleName=ElfFileWritten, „ELF File Write”)
| fillnull value=”-”
| stats dc(falconEvents) as totalEvents, values(falconEvents) as falconEvents, values(ImageFileName) as fileName, values(CommandLine) as cmdLine by aid, ProductType
| eval productType=case(ProductType = „1”,”Workstation”, ProductType = „2”,”Domain Controller”, ProductType = „3”,”Server”, event_platform = „Mac”, „Workstation”)
| lookup local=true aid_master aid OUTPUT Version, ComputerName, AgentVersion
| table aid, ComputerName, productType, Version, AgentVersion, totalEvents, falconEvents, fileName, cmdLine
| sort +productType, +ComputerName

Oto zapytanie Falcon Insight™ dla wyszukiwania wykorzystania Log4j2:

 search index=main event_simpleName=Script* cid=* ComputerName=*
| eval ExploitStringPresent = if(match(ScriptContent,"(env|jndi|ldap|rmi|ldaps|dns|corba|iiop|nis|nds)"),1,0)
| search ExploitStringPresent = 1
| rex field=ScriptContent "(?i)(?<ExploitString>.*j'?}?(?:${[^}]+:['-]?)?n'?}?(?:${[^}]+:['-]?)?d'?}?(?:${[^}]+:['-]?)?i'?}?(?:${[^}]+:['-]?)?:'?}?[^/]+)"
| eval HostType=case(ProductType = "1","Workstation", ProductType = "2","Domain Controller", ProductType = "3","Server", event_platform = "Mac", "Workstation")
| stats count by aid, ComputerName, HostType, ExploitString
| lookup local=true aid_master aid OUTPUT Version, ComputerName, AgentVersion
| table aid, ComputerName, HostType, Version, AgentVersion ExploitString
| rename ComputerName as "Computer Name", HostType as "Device Type", Version as "OS Version", AgentVersion as "Agent Version", ExploitString as "Exploit String"
| search "Exploit String"="***"

CrowdStrike chroni klientów za pomocą uczenia maszynowego oraz wskaźników ataku.

Zabezpieczenia CrowdStrike Falcon są ukierunkowane na stosowanie taktyk i technik, które są wykorzystywane przez przeciwników i testerów, a nie na ich konkretne działania. CrowdStrike Falcon zapewnia ochronę przed szkodliwymi zagrożeniami w różnych kierunkach, wykorzystując uczenie maszynowe i IOA do śledzenia zachowań szkodliwych procesów lub scenariuszy na punkcie końcowym, nawet w przypadku nowych zagrożeń.

Unikalnym wkładem uczenia maszynowego jest możliwość identyfikacji zarówno już znanych, jak i nowych złośliwych oprogramowań lub zagrożeń poprzez analizę zamiarów na podstawie atrybutów plików. Klient CrowdStrike Falcon wykorzystuje zarówno uczenie maszynowe w chmurze, jak i lokalne na platformach Windows, Linux i macOS, aby wykrywać i zapobiegać zagrożeniom, które wdrażane przez przestępców za pomocą podatności Log4j2, i jest bardzo skuteczny w ochronie przed różnymi typami złośliwego oprogramowania, takimi jak ransomware, koparki, trojany i botnety.

Jak CrowdStrike chroni klientów przed zagrożeniami związanymi z Log4Shell? - image 9Jak CrowdStrike chroni klientów przed zagrożeniami związanymi z Log4Shell? - image 9

Zdjęcie 1. Zrzut ekranu, na którym Falcon ML skutecznie zapobiega złośliwej aktywności związanej z Log4j2

Na zdjęciu 1 przedstawiona jest udana interwencja Falcon ML po uruchomieniu przez przestępców złośliwedo działania z wykorzystaniem podatności Log4j2. Jak widać, proces bash pod Java jest odpowiedzialny za wykorzystanie narzędzi wget i cURL do pobrania przydatnego ładunka pierwszego etapu, oznaczonego jako AAA, którego rozwinięcie zostało skutecznie zablokowane przez lokalne uczenie maszynowe Falcon. Warto zauważyć, że uczenie maszynowe Falcon proaktywnie zgłosiło złośliwą działalność jeszcze przed ogłoszeniem podatności Log4j2.

Oprócz ochrony za pomocą uczenia maszynowego, na zrzucie ekranu pokazano także, jak zespół Falcon OverWatch wykrywa i wysyła powiadomienia o szkodliwym procesie bash pod Java, co jest przykładem wielopoziomowego podejścia, które CrowdStrike stosuje do ochrony klientów.

IOA jest istotnym elementem strategii stosowanej przez Falcon w celu wykrywania zagrożeń, w tym tych niedawno uruchomionych przez przestępców wykorzystujących podatność Log4j2. To podejście opiera się na wykrywaniu intencji, jakie ma przestępca, niezależnie od złośliwego oprogramowania używanego w ataku.

Na przykład, CrowdStrike Falcon był w stanie zapobiec wielu rozprzestrzenionym zagrożeniom za pomocą istniejącego IOA. Obserwując i skupiając się na serii działań i taktyk, których próbują użyć przeciwnicy, CrowdStrike Falcon może skutecznie wykrywać i blokować nowe i nieznane zagrożenia, które wykazują podobne zachowania.

Jak CrowdStrike chroni klientów przed zagrożeniami związanymi z Log4Shell? - image 11Jak CrowdStrike chroni klientów przed zagrożeniami związanymi z Log4Shell? - image 12

Zdjęcie 2. Zrzut ekranu przedstawiający, jak Falcon IOA skutecznie zapobiega złośliwej aktywności związanej z Log4j2.

Na zdjęciu 2 pokazano, jak Falcon IOA skutecznie zapobiega i neutralizuje szkodliwą aktywność, zanim proces zdąży uruchomić złośliwy kod. W rezultacie nie doszło do żadnej dalszej szkodliwej aktywności po wykorzystaniu na punkcie końcowym. Ponieważ IOA mogą być dynamicznie włączane i nie wymagają aktualizacji klienta, zespół CrowdStrike Content Research & Response był w stanie wydać ponad dwadzieścia nowych IOA w ciągu kilku godzin od wykrycia podatności, poprawiając istniejące pokrycie Falcon w zakresie działań związanych z wykorzystaniem Log4j2.

Niezależnie od tego, czy jest to system Windows, Linux czy macOS, CrowdStrike Falcon stosuje narzędzia wykrywania zachowań, uczenia maszynowego i zaawansowanego zapobiegania przed szkodliwą aktywnością, aby chronić klientów i powstrzymać naruszenia.


REKOMENDACJE

  • Organizacjom korzystającym z Log4j2 zdecydowanie zaleca się zaktualizowanie biblioteki do najnowszej wersji Log4j2 (2.16.0), która została opublikowana 14 grudnia 2021 roku.
  • Przeprowadź pełną weryfikację infrastruktury, aplikacji i łańcucha dostaw oprogramowania w celu identyfikacji zależności od frameworku dziennikowania Apache Log4j2.
  • Upewnij się, że Twoje polityki zapobiegania w CrowdStrike Falcon są skonfigurowane zgodnie z najlepszymi praktykami.
  • Zidentyfikuj istotne aplikacje/usługi i pozostawaj na bieżąco z zaleceniami dostawców, aby monitorować rozwój sytuacji.Klienci CrowdStrike Falcon mogą skorzystać z naszego portalu wsparcia klienta, aby uzyskać szczegółowe instrukcje dotyczące wykrywania i łagodzenia systemów podatnych na Log4j2/Log4Shell.

Więcej o CrowdStrike oraz jej rozwiązaniach

Menadżerowie z iIT Distribution chętnie pomogą Ci w rozwiązaniu wszelkich pytań dotyczących wdrożenia rozwiązań bezpieczeństwa firmy CrowdStrike. Jesteśmy oficjalnym dostawcą tych rozwiązań na terenie Polski.

AKTUALNOŚCI

Przeczytaj również

Wszystkie wiadomości
CrowdStrike i ExtraHop rozszerzają partnerstwo, by eliminować zagrożenia związane z Shadow AI
Aktualności CrowdStrike
CrowdStrike i ExtraHop rozszerzają partnerstwo, by eliminować zagrożenia związane z Shadow AI
Więcej
Nowość od ExtraHop: pierwszy w branży czujnik typu all-in-one rewolucjonizuje podejście do bezpieczeństwa sieci
Aktualności
Nowość od ExtraHop: pierwszy w branży czujnik typu all-in-one rewolucjonizuje podejście do bezpieczeństwa sieci
Więcej
ExtraHop dołącza do organizacji Cyber Threat Alliance
Aktualności
ExtraHop dołącza do organizacji Cyber Threat Alliance
Więcej
Wszystkie wiadomości
Ta strona korzysta z plików cookies Polityka Prywatności iITD