Microsoft Melihat Upaya Eksploitasi Log4j Merajalela, Pengujian

Tidak mengherankan di sini: Liburan tidak membeli bantuan Log4Shell. Aktor

Threat dengan penuh semangat meluncurkan upaya eksploitasi dan pengujian selama minggu-minggu terakhir bulan Desember, kata Microsoft pada hari Senin, dalam pembaruan terbaru ke halaman arahannya dan panduan seputar kekurangan di perpustakaan logging Log4j Apache.

“Kami telah mengamati banyak penyerang yang ada menambahkan eksploitasi kerentanan ini dalam kit dan taktik malware yang ada, dari penambang koin hingga serangan hands-on-keyboard,” menurut Microsoft.

Kerentanan eksekusi kode jarak jauh (RCE) di Apache Log4j 2 – CVE-2021-44228, CVE-2021-45046, CVE-2021-44832 – secara kolektif disebut sebagai Log4Shell. Dalam beberapa jam setelah pengungkapan publik cacat awal pada 10 Desember, penyerang memindai server yang rentan dan melepaskan serangan yang berkembang pesat untuk menjatuhkan penambang koin, Cobalt Strike, trojan akses jarak jauh Orcus (RAT). membalikkan bash shell untuk serangan di masa mendatang, Mirai dan botnet lainnya, dan backdoors.

Vektor serangan baru yang disajikan oleh Log4Shell sangat luas, parah, dan memiliki banyak potensi untuk dieksploitasi secara luas. Cacat, yang sangat mudah dieksploitasi, ada di perpustakaan logging Java Apache Log4j yang ada di mana-mana dan dapat memungkinkan RCE yang tidak diautentikasi dan pengambilalihan server lengkap.

Dalam tiga hari setelah pengungkapan cacat, itu memuntahkan mutasi. Dalam 10 hari, geng ransomware Conti yang terkenal jahat telah menciptakan rantai serangan Log4Shell yang holistik. Pada minggu lalu, 30 Desember, Advanced Persistent Threat (APT) Aquatic Panda menargetkan universitas dengan alat eksploitasi Log4Shell dalam upaya untuk mencuri intelijen industri dan rahasia militer.

Obfuscated HTTP Requests

Baru-baru ini, Microsoft telah mengamati penyerang mengaburkan permintaan HTTP yang dibuat terhadap sistem yang ditargetkan. Permintaan tersebut menghasilkan log menggunakan Log4j 2 yang memanfaatkan Java Naming and Directory Interface (JNDI) untuk melakukan permintaan ke situs yang dikendalikan penyerang. Kerentanan kemudian menyebabkan proses yang dieksploitasi untuk menjangkau situs dan mengeksekusi payload.

Microsoft telah mengamati banyak serangan di mana parameter milik penyerang adalah sistem pencatatan DNS, yang dimaksudkan untuk mencatat permintaan ke situs untuk sidik jari sistem yang rentan. String yang dibuat yang memungkinkan eksploitasi Log4Shell berisi “jndi,” diikuti oleh protokol – seperti “ldap,” “ldaps” “rmi,” “dns,” “iiop,” atau “http” – dan kemudian domain penyerang.

But untuk menghindari deteksi, penyerang mencampuradukkan pola permintaan: Misalnya, Microsoft telah melihat kode eksploitasi tertulis yang menjalankan perintah bawah atau atas dalam string eksploitasi. Upaya pengaburan yang lebih rumit sedang dilakukan untuk mencoba melewati deteksi pencocokan string, seperti yang ditunjukkan pada contoh string di bawah ini:

Server Minecraft Masih Dieksploitasi

Eksploitasi berlanjut pada server Minecraft yang tidak dihosting Microsoft, kata perusahaan itu: seperti dalam, jenis server yang sama di mana Log4j pertama kali ditemukan.

Microsoft mengkonfirmasi laporan publik tentang ransomware Khonsari yang dikirimkan sebagai muatan pasca-eksploitasi, seperti yang telah dirinci Bitdefender. Data Antivirus Microsoft Defender telah menunjukkan sejumlah kecil kasus yang diluncurkan dari klien Minecraft yang disusupi yang terhubung ke server Minecraft yang dimodifikasi yang menjalankan versi Log4j 2 yang rentan melalui penggunaan pemuat mod Minecraft pihak ketiga, kata perusahaan itu.

“Dalam kasus ini , musuh mengirimkan pesan berbahaya dalam game ke server Minecraft yang rentan, yang mengeksploitasi CVE-2021-44228 untuk mengambil dan mengeksekusi muatan yang dihosting penyerang di server dan pada klien rentan yang terhubung,” kata Microsoft. “Kami mengamati eksploitasi yang mengarah ke file kelas Java berbahaya yang merupakan ransomware Khonsari, yang kemudian dieksekusi dalam konteks javaw.exe untuk menebus perangkat.”

Meskipun Minecraft tidak biasanya dipasang di jaringan perusahaan, Microsoft juga mengamati PowerShell shell terbalik berbasis yang dijatuhkan ke sistem klien Minecraft melalui teknik pesan berbahaya yang sama, memungkinkan aktor untuk sepenuhnya mengambil alih sistem yang disusupi, yang kemudian mereka gunakan untuk menjalankan Mimikatz untuk mencuri kredensial.

“Teknik ini biasanya dikaitkan dengan kompromi perusahaan dengan maksud gerakan lateral, ”kata Microsoft. Ini masih awal dalam kampanye ini: Belum ada aktivitas lanjutan yang dapat dideteksi, “menunjukkan bahwa penyerang mungkin mengumpulkan akses untuk digunakan nanti.”

Microsoft mendesak pelanggan Minecraft yang menjalankan server mereka sendiri untuk menyebarkan pembaruan server Minecraft terbaru dan bagi pemain untuk berhati-hati dengan hanya menyambungkan ke server Minecraft tepercaya.

Aktivitas Status Bangsa

Serangan Log4Shell tanpa henti datang dari aktor negara-bangsa yang sedang menguji dan telah menerapkan eksploit: Pada 15 Desember, lebih dari 1,8 juta serangan, terhadap setengahnya dari semua jaringan perusahaan, menggunakan setidaknya 70 kelompok malware yang berbeda, telah diluncurkan untuk mengeksploitasi Log4Shell.

Microsoft’s Threat Intelligence Center (MSTIC) juga telah mengamati kelemahan CVE-2021-44228 yang digunakan oleh beberapa kelompok aktivitas negara-bangsa terlacak yang berasal dari Cina, Iran, Korea Utara, dan Turki.

Para aktor bereksperimen selama pengembangan, mengintegrasikan kerentanan t o penyebaran muatan di alam liar, dan mengirimkan eksploitasi terhadap target.

Salah satu contoh: MSTIC telah mengamati pengguna ransomware, aktor PHOSPHORUS Iran – alias Kucing Menawan, TA453, APT35, Tim Keamanan Ajax, NewsBeef atau Newscaster, dkk. – memperoleh dan membuat modifikasi dari eksploit Log4j.

“Kami menilai bahwa PHOSPHORUS telah mengoperasionalkan modifikasi ini,” Microsoft mengamati.

MSTIC juga telah melihat grup HAFNIUM yang terhubung dengan China menggunakan kerentanan untuk menyerang infrastruktur virtualisasi untuk memperluas penargetan khas grup . “Dalam serangan ini, sistem terkait HAFNIUM diamati menggunakan layanan DNS yang biasanya terkait dengan aktivitas pengujian ke sistem sidik jari,” catat para peneliti.

Saran I’m-a-broken-record dari Microsoft: Perbarui produk dan layanan yang terpengaruh dan terapkan patch keamanan secepatnya .

“Dengan aktor negara-bangsa menguji dan mengimplementasikan exploit dan broker akses terkait ransomware yang diketahui menggunakannya, kami sangat menyarankan untuk menerapkan patch keamanan dan memperbarui produk dan layanan yang terpengaruh sesegera mungkin,” kata Microsoft.

RAT Infestation

Microsoft juga melihat tambahan toolkit akses jarak jauh dan shell terbalik dijatuhkan melalui eksploitasi CVE-2021-44228: malware yang digunakan aktor untuk serangan hands-on-keyboard. Selain cangkang terbalik Cobalt Strike dan PowerShell yang terlihat dalam laporan sebelumnya, perusahaan juga telah melihat Meterpreter, Bladabindi dan HabitsRAT.

“”Aktivitas lanjutan dari cangkang ini belum diamati saat ini, tetapi alat ini memiliki kemampuan untuk mencuri kata sandi dan pindah ke samping,” Microsoft mencatat.

Aktivitas ini berasal dari skala kecil, mungkin lebih bertarget mungkin terkait dengan kampanye pengujian, dan penambahan CVE-2021-44428 ke kampanye yang ada yang mengeksploitasi kerentanan untuk menjatuhkan alat akses jarak jauh. Microsoft mengatakan bahwa kampanye HabitsRAT tumpang tindih dengan infrastruktur yang digunakan dalam kampanye sebelumnya.

Perkembangan Lainnya

Microsoft juga telah melihat:

Beberapa broker akses ransomware menggunakan kerentanan untuk mendapatkan akses awal ke jaringan target – akses yang mereka jual ke ransomware-as-a-service (RaaS) afiliasi. “Kami telah mengamati kelompok-kelompok ini mencoba eksploitasi pada sistem Linux dan Windows, yang dapat menyebabkan peningkatan dampak ransomware yang dioperasikan manusia pada kedua platform sistem operasi ini,” kata Microsoft. Pemindaian massal oleh penyerang dan peneliti keamanan. Kerentanan dengan cepat tersedot ke botnet yang ada seperti Mirai, kampanye yang ada sebelumnya menargetkan sistem Elasticsearch yang rentan untuk menyebarkan penambang cryptocurrency, dan aktivitas menyebarkan pintu belakang Tsunami ke sistem Linux. “Banyak dari kampanye ini menjalankan aktivitas pemindaian dan eksploitasi secara bersamaan untuk sistem Windows dan Linux, menggunakan perintah Base64 yang disertakan dalam permintaan JDNI:ldap:// untuk meluncurkan perintah bash di Linux dan PowerShell di Windows,” kata perusahaan itu. lonjakan serangan ransomware. Benar, ransomware telah dikirimkan melalui klien Minecraft yang dimodifikasi, tetapi sejauh ini hanya sejumlah kecil kasus. Itu bisa berubah, mengingat bahwa pialang akses yang terkait dengan afiliasi RaaS melipat kerentanan ke dalam perangkat akses awal mereka. Tetapi Microsoft juga melihat muatan ransomware lama digunakan secara terbatas oleh peneliti keamanan dan sejumlah kecil penyerang. “Dalam beberapa kasus, mereka tampaknya bereksperimen dengan penerapan melalui pemindaian dan server Minecraft yang dimodifikasi,” kata Microsoft. “Sebagai bagian dari eksperimen ini, beberapa muatan ransomware tampaknya telah disebarkan ke sistem yang sebelumnya telah disusupi dan awalnya menjatuhkan muatan penambang koin.”

Webtoos Malware. Webtoos, malware dengan kemampuan distributed denial-of-service (DDoS) dan mekanisme persistensi yang memungkinkan penyerang membuat lebih banyak malapetaka, juga disebarkan melalui kerentanan Log4Shell. “Penggunaan malware atau niat penyerang ini tidak diketahui saat ini, tetapi kampanye dan infrastruktur telah digunakan dan telah menargetkan sistem Linux dan Windows sebelum kerentanan ini,” kata Microsoft. vektor dan aktivitas yang diamati, menemukan dan memulihkan aplikasi dan sistem yang rentan, mendeteksi dan merespons upaya eksploitasi dan aktivitas penyerang terkait lainnya, dan Indikator kompromi (IoC).

Ini Baru Awal

Sebagaimana jika semua itu tidak cukup, semuanya mungkin akan berjalan menjadi lebih buruk, kata Microsoft. Sama seperti Log4j yang terselip di celah dan celah, demikian juga eksploitasi akan ditambahkan ke lebih banyak perangkat penyerang: “Sebagian besar serangan yang kami amati sejauh ini sebagian besar adalah pemindaian massal, penambangan koin, pembuatan cangkang jarak jauh, dan aktivitas tim merah, tetapi kemungkinan besar penyerang akan terus menambahkan eksploitasi untuk kerentanan ini ke perangkat mereka,” kata Microsoft.

Bagaimana Anda Tahu Di Mana Log4J Mengintai?

Bagian besar dari mimpi buruk Log4Shell adalah fakta bahwa itu tidak selalu jelas perangkat lunak mana yang menggunakan versi rentan dari perpustakaan Log4j.

Sementara Microsoft telah menetapkan beberapa metode untuk mendeteksi upaya eksploitasi aktif menggunakan Log4j, mengidentifikasi versi yang rentan sebelum serangan akan menjadi “ideal,” menurut Ray Kelly, seorang rekan di NTT Keamanan Aplikasi.

“Ini akan menjadi pertempuran berkelanjutan bagi konsumen dan vendor hingga tahun 2022 dalam apa yang perlu menjadi pendekatan dua arah,” kata Kelly ancaman. “Vendor keamanan dengan cepat merespons konsumen dengan menambahkan aturan log4j yang memungkinkan pemindai DAST mendeteksi apakah situs web dapat dieksploitasi dengan permintaan web log4j berbahaya terhadap server web perusahaan. Pada saat yang sama, vendor harus memastikan bahwa mereka tidak mengirimkan perangkat lunak dengan versi rentan menggunakan alat seperti SCA.”

Menanyakan Apa yang Harus Dilakukan? Ini Sedikit Terlambat untuk Itu

Jake Williams, salah satu pendiri dan CTO di BreachQuest, menggemakan pernyataan Microsoft bahwa kerentanan ini akan memiliki ekor yang sangat panjang untuk dieksploitasi, mengingat banyak organisasi bahkan tidak menyadari bahwa mereka menjalankan perangkat lunak yang rentan.

“Sayangnya (dan tidak ada yang mau mendengar ini), tidak ada yang tersisa untuk dikatakan tentang memulihkan log4j yang belum dikatakan ratusan kali, ”kata Williams kepada Threatpost. “Setiap organisasi yang menanyakan hari ini apa yang perlu mereka lakukan terkait log4j hampir pasti memiliki insiden di tangan mereka. Setiap organisasi dengan tim keamanan tahu apa yang perlu dilakukan untuk memburu log4j, mereka hanya membutuhkan sumber daya dan dukungan politik untuk benar-benar menyelesaikannya. Dieksploitasi melalui sistem yang menghadap internet yang menjalankan log4j yang rentan pada titik ini adalah kegagalan kepemimpinan, bukan kegagalan teknis.”