fbpx

Наши представительства: 

Заказать обратный звонок
btn

Как CrowdStrike защищает клиентов от угроз, связанных с Log4Shell

Релиз
  • Log4Shell, новейшая критическая уязвимость, найденная в библиотеке Log4j2 Apache Logging Services, представляет серьезную угрозу для организаций.
  • Активні спроби використати вразливість в реальних умовах робить цю вразливість найбільш серйозною загрозою на сьогодні
  • CrowdStrike використовує індикатори атак (IOA) і машинне навчання для захисту своїх клієнтів
  • CrowdStrike продовжує стежити за еволюцією Log4Shell, а також впроваджувати та оновлювати всі контрзаходи, необхідні для захисту клієнтів
  • Организациям, использующим Log4j2, настоятельно рекомендуется обновить библиотеку до последней версии Log4j2 (2.16.0), опубликованной 14 декабря 2021 г.
  • Наразі нема потреби в оновленні клієнта CrowdStrike Falcon, або додаткових дій для зменшення наслідків вразливості. Для отримання додаткової інформації клієнти можуть відвідати нашу базу знань.


Останні висновки команди CrowdStrike Intelligence щодо Log4Shell (CVE-2021-44228, CVE-2021-45046) свідчать про широкомасштабний вплив цього типу вразливостей. CrowdStrike допомагає захистити клієнтів від загроз, які виникають внаслідок цієї вразливості, використовуючи такі засоби як машинне навчання, та індикатори атаки (IOA).

Log4Shell — це вразливість у поширеній бібліотеці Java, яка широко використовується всюди: від онлайн-ігор до хмарної інфраструктури. CrowdStrike Falcon OverWatch™ помітив активні та постійні спроби використати вразливість. Фінансово мотивовані зловмисники почали швидко використовувати загальнодоступний експлоіт для розгортання на вразливих цільових системах шкідливих програм, використовуючи майнери XMRig, код зворотньої оболонки (reverse shell), троянські програми віддаленого доступу та ботнети.

CrowdStrike використовує різні механізми для захисту клієнтів від зловмисного ПЗ, яке використовує вразливість Log4j2. З моменту виявлення CVE-2021-44228 засоби машинного навчання та IOA CrowdStrike Falcon запобігають діяльності зловмисників.

CrowdStrike продолжает активно следить за эволюцией Log4Shell и будет применять контрмеры, необходимые для защиты клиентов от злонамеренной активности, возникшей в результате использования уязвимостей Log4j2.


Вплив вразливості та зловживання, які з нею пов’язані

Log4j2 — це бібліотека з відкритим вихідним кодом і є частиною сервісів Apache Logging Services, яка написана на Java і використовується на різних платформах, таких як Elasticsearch, Flink і Kafka. Оскільки Java є міжплатформним фреймворком, уразливість Log4j2 не обмежується лише додатками, які працюють на певній операційній системі.

Без належного запобігання загроз або встановлення виправлень, зловмисники можуть використовувати вразливість для розгортання шкідливого програмного забезпечення, виконання коду зворотньої оболонки (reverse shells) та інших дій у системах, які було скомпрометовано.

За даними CrowdStrike Intelligence, зловмисники почали проводити активне сканування та спроби використання, спрямовані на вразливі системи та служби, незалежно від операційної системи.

Оскільки Linux відіграє важливу роль у хмарних інфраструктурах, звіти про корисні навантаження, які виконуються за допомогою вразливості Log4j2, показали, що ботнети — такі як Mirai та Muhstik — почали атакувати пристрої всього через кілька днів після того, як вразливість стала загальнодоступною.

Галузеві звіти свідчать також і про інші загрози, спрямовані на операційні системи та фреймворки, вразливі до експлуатації Log4j2, а також сервіси навантажень такі як Cobalt Strike та Metasploit, які розгортаються у спробі створити плацдарм у цільовому середовищі.


Як клієнти можуть використовувати Falcon для полювання на Log4j2

Модуль Log4j2 постачається разом з великою кількістю програмних пакетів сторонніх розробників. З цієї причини полювання на Log4j2 буде не таким простим, як пошук його виконуваного файлу, його хешу SHA256 або шляху до файлу. Клієнти CrowdStrike Falcon можуть використовувати готові інформаційні панелі для всіх підтримуваних операційних систем, щоб виявити активне використання вразливості Log4j2 у своєму середовищі.

Кроме информационных панелей, клиенты могут использовать телеметрию датчика Falcon и искать использование Log4j2 способами, соответствующими тому, как разработчики могут использовать его в своих приложениях. Вот запрос Falcon Insight™ для поиска использования Log4j2:

event_simpleName IN (ProcessRollup2, SyntheticProcessRollup2, JarFileWritten, NewExecutableWritten, PeFileWritten, ElfFileWritten)
| search *log4j*
| eval falconEvents=case(event_simpleName="ProcessRollup2", "Process Execution", event_simpleName="SyntheticProcessRollup2", "Process Execution", event_simpleName="JarFileWritten", "JAR File Write", event_simpleName="NewExecutableWritten", "EXE File Write", event_simpleName="PeFileWritten", "EXE File Write", event_simpleName=ElfFileWritten, "ELF File Write")
| fillnull value="-"
| stats dc(falconEvents) as totalEvents, values(falconEvents) as falconEvents, values(ImageFileName) as fileName, values(CommandLine) as cmdLine by aid, ProductType
| eval productType=case(ProductType = "1","Workstation", ProductType = "2","Domain Controller", ProductType = "3","Server", event_platform = "Mac", "Workstation")
| lookup local=true aid_master aid OUTPUT Version, ComputerName, AgentVersion
| table aid, ComputerName, productType, Version, AgentVersion, totalEvents, falconEvents, fileName, cmdLine
| sort +productType, +ComputerName

Вот еще один запрос, который ищет попытки эксплуатации Log4j2:

 search index=main event_simpleName=Script* cid=* ComputerName=*
| eval ExploitStringPresent = if(match(ScriptContent,"(env|jndi|ldap|rmi|ldaps|dns|corba|iiop|nis|nds)"),1,0)
| search ExploitStringPresent = 1
| rex field=ScriptContent "(?i)(?<ExploitString>.*j'?\}?(?:\$\{[^}]+:['-]?)?n'?\}?(?:\$\{[^}]+:['-]?)?d'?\}?(?:\$\{[^}]+:['-]?)?i'?\}?(?:\$\{[^}]+:['-]?)?:'?\}?[^/]+)"
| eval HostType=case(ProductType = "1","Workstation", ProductType = "2","Domain Controller", ProductType = "3","Server", event_platform = "Mac", "Workstation")
| stats count by aid, ComputerName, HostType, ExploitString
| lookup local=true aid_master aid OUTPUT Version, ComputerName, AgentVersion
| table aid, ComputerName, HostType, Version, AgentVersion ExploitString
| rename ComputerName as "Computer Name", HostType as "Device Type", Version as "OS Version", AgentVersion as "Agent Version", ExploitString as "Exploit String"
| search "Exploit String"="***"

CrowdStrike защищает клиентов с помощью машинного обучения и индикаторов атаки


Меры предосторожности CrowdStrike Falcon направлены на применение тактик и приемов, которые используются противниками и тестировщиками, а не на их конкретные действия. CrowdStrike Falcon обеспечивает защиту от вредоносных угроз по разным направлениям, используя машинное обучение и IOA для отслеживания поведения вредоносных процессов или сценариев на конечной точке даже при работе с новыми угрозами.

Унікальним внеском машинного навчання є те, що воно може ідентифікувати як відоме, так і нове зловмисне програмне забезпечення або загрози, аналізуючи зловмисні наміри на основі атрибутів файлу. Клієнт CrowdStrike Falcon використовує як хмарне, так і локальне машинне навчання на платформах Windows, Linux і macOS для виявлення та запобігання загрозам, які зараз розгортаються зловмисниками з використанням вразливості Log4j2, і він дуже ефективний у захисті від різноманітних типів шкідливих програм, таких як програми-вимагачі, майнери, трояни та ботнети.

Рисунок 1. Снимок экрана, на котором Falcon ML успешно предотвращает вредоносную деятельность, связанную с Log4j2

На рисунке 1 показано успешное использование Falcon ML після запуску зловмисниками шкідливої діяльності з використанням вразливості Log4j2. Як ми бачимо, процес bash під Java відповідає за використання утиліт wget і cURL для завантаження корисного навантаження першого етапу, позначеного AAA, розгортанню якого успішно запобігає локальне машинне навчання Falcon. Варто зазначити, що машинне навчання Falcon проактивно звітувало про зловмисну діяльність ще до оголошення про вразливість Log4j2.

Кроме защиты с помощью машинного обучения, на скриншоте также показано, как команда Falcon OverWatch обнаруживает и посылает уведомления о вредоносном процессе bash под Java, что является примером многоуровневого подхода, используемого CrowdStrike для защиты наших клиентов.

IOA є важливою частиною стратегії, яку використовує Falcon, коли справа доходить до виявлення загроз, включаючи нещодавно розгорнуті зловмисниками з використанням вразливості Log4j2. Цей підхід базується на виявленні наміру який має зловмисник, незалежно від шкідливого програмного забезпечення, яке використаного в атаці.

Наприклад, CrowdStrike Falcon зміг запобігти множинним розгорнутим загрозам за допомогою існуючого IOA. Спостерігаючи та зосереджуючись на серії дій і тактик, які намагаються здійснити противники, CrowdStrike Falcon може успішно виявляти та блокувати нові та невідомі загрози, які демонструють подібну поведінку.

Рисунок 2. Снимок экрана, демонстрирующий, как Falcon IOA успешно предотвращает злонамеренную деятельность, связанную с Log4j2


На зображенні 2 показано, як Falcon IOA успішно запобігає та нейтралізує шкідливу діяльність до того, як процес зміг запустити зловмисний код. Як наслідок, — жодної подальшої зловмисної діяльності після експлуатації на кінцевій точці не відбулося. Оскільки IOA можуть залучатися динамічно і не вимагають оновлення клієнтської частини, команда CrowdStrike Content Research & Response змогла випустити понад два десятки нових IOA протягом кількох годин після виявлення вразливості, покращуючи наявне покриття Falcon проти дій, пов'язаних з експлуатацією Log4j2.

Незалежно від того, чи використовується Windows, Linux чи macOS, CrowdStrike Falcon застосовує засоби виявлення поведінки, машинного навчання та розширеного запобігання зловмисній діяльності, щоб захистити клієнтів і зупинити порушення.


РЕКОМЕНДАЦИИ

  • Организациям, использующим Log4j2, настоятельно рекомендуется обновить библиотеку до последней версии Log4j2 (2.16.0), опубликованной 14 декабря 2021 г.
  • Проверьте всю инфраструктуру, приложения и цепочку поставки программного обеспечения для обнаружения зависимостей от фреймворка журнала Apache Log4j2
  • Убедитесь, что ваши политики предотвращения CrowdStrike Falcon настроены в соответствии с наилучшими практиками
  • Визначайте важливі програми/послуги та залишайтеся в курсі рекомендацій постачальників, щоб стежити за розвитком ситуації

Примітка. Клієнти CrowdStrike Falcon можуть звернутися до нашого порталу підтримки клієнтів, щоб отримати детальні інструкції щодо того, як виявити та пом’якшити системи, уразливі до Log4j2/Log4Shell.


Больше о компании CrowdStrike и о ее решениях

Менеджеры iIT Distribution помогут вам с любыми вопросами о внедрении решений безопасносты CrowdStrike. Ведь именно мы официально обеспечиваем их внедрение на территории Украины, Казахстана, Узбекистана и Грузии.

Назад

Mobile Marketing
+
ru_RURussian