Dne 9. prosince 2021 odhalila společnost Apache zranitelnost CVE-2021-44228, která spočívá ve vzdáleném spuštění kódu v knihovně pro protokolování Log4j, a které byla přiřazena závažnost 10 (nejvyšší možné skóre rizika).
Již dříve jsme zdokumentovali, že pro zákazníky není známo žádné riziko plynoucí z našich produktů a služeb, a zveřejnili jsme technické poradenství s přehledem a konkrétními příklady útoků z vnější telemetrie. V tomto příspěvku na blogu se zabýváme pokusy o útoky zneužívající zranitelnost Log4j, a zeměmi, odkud tyto útoky pocházejí a kde se nacházejí oběti.
Uvádíme následující údaje z naší sítě honeypot, ale také údaje z naší telemetrie ze stovek milionů koncových bodů. Když jsme začali tato data analyzovat, překvapilo nás, že jsme viděli zcela jiný obrázek, než jsme očekávali, a to západní země, které byly uvedeny jako hlavní zdroj útoků, včetně Německa, Spojených států a Nizozemska.
Naše první myšlenka byla, že tyto země jsou známé tím, že hostují datová centra typu infrastruktura jako služba, a mnoho těchto útoků pravděpodobně pochází z dočasných virtuálních počítačů. Začali jsme zkoumat regiony AWS/Azure/GCP a zdrojové adresy, ale jen malé procento těchto útoků pocházelo od těchto poskytovatelů cloudu.
Poté naši analytici pokračovali v důkladnějším zkoumání a identifikovali jsme značný počet zdrojových IP adres jako výstupní uzly pro Tor (The Onion Router). Po analýze všech unikátních zdrojových IP adres bylo více než 50 % identifikováno jako výstupní uzly sítě Tor. To znamená, že útočníci používají síť virtuálních tunelů, aby zůstali v anonymitě a zabránili prozrazení místa svého původu.
Síť Tor umožňuje útočníkům přesměrovat své útoky.
Jinými slovy, subjekty zneužívající Log4j směrují své útoky přes počítače, které jsou blíže jejich zamýšleným cílům, a to, že na prvních místech seznamu nevidíme země běžně spojované s kybernetickými bezpečnostními hrozbami, neznamená, že útoky nepocházejí z těchto zemí.
Detekce honeypotů
Počínaje detekcí honeypotu jsme od 9. do 16. prosince zaznamenali 36 000 útoků na naši síť. Naše síť honeypot napodobuje pravděpodobné cíle a shromažďuje údaje o pokusech o útoky. Po pokusu o zneužití útoku jej zablokujeme a vrátíme honeypot do původního stavu. (Nenecháváme aktéry hrozeb dokončit útok, aby naše stroje nezačaly útočit na jiné sítě). IP adresy našich serverů honeypot nejsou nikde inzerovány, takže aby se k nim aktéři hrozeb dostali, prohledávají nejprve celý rozsah IPv4.
Tento graf znázorňuje země, odkud pozorované útoky pocházejí, nikoli země, které jsou cílem útoků. Těchto 10 zemí dohromady pokrývá 87 % našich detekcí.
Země, odkud pocházejí útoky Log4j na honeypoty
Překvapivě se v hlášeních o incidentech objevují země, které se obvykle nacházejí ve sloupci "Cíl", nikoli ve sloupci "Původ", přičemž v čele seznamu jsou Spojené státy. Podobné trendy vidíme i v naší provozní telemetrii, jak bude vysvětleno později.
Detekce telemetrie
Abychom tato zjištění potvrdili, chtěli jsme je ověřit pomocí jiného zdroje dat. Prověřili jsme telemetrii z agentů zabezpečení koncových bodů společnosti Bitdefender, shromážděnou mezi 11. a 15. prosincem.
Mnoho zákazníků provádí simulované útoky na vlastní síť, aby identifikovali zranitelné systémy. Abychom to kompenzovali, filtrovali jsme tato data a snažili se identifikovat pravidelné pokusy o průnik a bezpečnostní skenování. Vyloučili jsme 75 % detekcí, které zřejmě pocházejí od společností testujících vlastní sítě (tato vysoká míra vyloučení je dobrým znamením, protože znamená, že bezpečnostní týmy berou tuto hrozbu vážně).
Následující graf představuje 10 nejvýznamnějších zemí, odkud útoky ve sledovaném období pocházely. Z těchto 10 zemí pocházelo 80 % pokusů. Seznamu vévodí Německo, významné procento útoků pochází také ze Spojených států a Nizozemska.
10 nejčastějších zemí, odkud pocházejí pokusy o infiltraci Log4j
Seznam zamýšlených cílů však není tak překvapivý - na prvním místě jsou Spojené státy, Kanada a Velká Británie. V telemetrii jsme zjistili útoky proti 105 zemím, ale 67 % všech útoků bylo zaměřeno na těchto 10 zemí.
10 nejčastěji napadaných zemí
V naší telemetrii vidíme různé bezpečnostní moduly, které brání různým fázím útoků v jejich plném rozšíření. Od ochrany sítě (reputace URL/IP), statického antimalwaru (detekce minerů nebo známých škodlivých payloadů), Advanced Threat Defense pro detekci podezřelého chování procesů, a EDR pro detekci reverzních TCP shellů a anomálií. Přístup "obrana do hloubky" je osvědčená strategie, která pomáhá zabránit tomu, aby se bezpečnostní incidenty staly narušením bezpečnosti, a zde vidíme, jak se to projevuje u systému log4j.
Různé fáze prevence a detekce
Co se bude dít dál
Je důležité poznamenat, že tato situace je velmi dynamická a stále se vyvíjí. Omezení nebo dokonce pochopení dopadu této zranitelnosti bude trvat měsíce, a pro různé aktéry hrozeb je to ideální příležitost.
Zatím jsme nezaznamenali žádnou aktivitu známého gangu Ransomware-as-a-Service nebo skupiny APT, ale pro tyto profesionální subjekty působící v oblasti hrozeb je to ideální příležitost k vytvoření zázemí pro pozdější zneužití. Jejich přítomnost průběžně monitorujeme, protože předpokládáme, že profesionální hackeři s dlouhodobými plány na jejich zneužívání využijí této příležitosti k umístění zadních vrátek, tichému patchování zranitelnosti, aby zabránili zásahům ostatních hackeřů (a skryli postižený stroj před interním skenováním zranitelností), a počkají, až počáteční bouře pomine, a teprve poté zahájí útok. Aby maximalizovali tlak na oběti, budou hackeři se spuštěním svých útoků pravděpodobně čekat až do Vánoc nebo do konce roku.
Průběžně sledujeme aktivitu na darknetu a vidíme, že o tuto zranitelnost je velký zájem.
Video z Invidious - darknetové platformy pro streamování videa, podobné YouTube. Ke dni 16. 12. 2021 má toto video více než 200 tisíc zhlédnutí a téměř 1500 komentářů.
Co byste měli udělat nyní? Řiďte se pokyny uvedenými v našich předchozích článcích Security Advisory a Technical Advisory a nadále aktivně monitorujte svou infrastrukturu z hlediska možných pokusů o zneužití, abyste mohli odpovídajícím způsobem reagovat. Nyní je totiž stále vhodná doba k tomu, abyste se ujistili, že je vaše firma kyberneticky odolnější, a že je váš bezpečnostní tým připraven odhalit potenciální napadení a reagovat na ně.