Die Log4Shell-Schwachstelle ist bei Hackern immer noch beliebt, um die VMware-Infrastruktur anzugreifen

Haftungsausschluss: Der Artikel verwendet teilweise die Materialien des Berichts Böswillige Cyber-Akteure nutzen weiterhin Log4Shell in VMware Horizon-Systemen.

Eines der aufsehenerregendsten Ereignisse Ende 2021 im Bereich Cybersicherheit war die Entdeckung einer kritischen Zero-Day-Schwachstelle Log4Shell (CVE-2021-44228), die die maximale Bedrohungsstufe von 10 von 10 Punkten erhielt sehr selten. An Spitzentagen erreichte die Anzahl der Angriffe laut verschiedenen Berichten Zehntausende pro Stunde auf der ganzen Welt.

Erinnern wir uns kurz daran, dass diese Schwachstelle mit der Log4j-Bibliothek zusammenhängt, einem Tool, das in fast jeder Java-Anwendung verwendet wird. Log4Shell ermöglicht den Fernzugriff und die Kontrolle über Server und Webanwendungen und gibt einem Angreifer die Möglichkeit, bösartige Software in sie zu importieren. Und dafür müssen Hacker nicht einmal hochqualifiziert sein. Beim Ausnutzen einer Schwachstelle richtet sich der Angriffsvektor auf die öffentlich zugängliche Anwendung [T1190] und externe Ferndienste [T1133]. Die Vorteile für Angreifer sind unterschiedlich, aber in den meisten Fällen besteht ihr Hauptziel darin, Backdoors in Server einzuschleusen, um datenstehlende Malware weiter zu infizieren.

Eine detaillierte Beschreibung der Techniken und Taktiken von Angriffen, bei denen Log4shell ausgenutzt wurde, kann nachgelesen werden hier.

Eine Schwachstelle bezüglich Remotecodeausführung hat die Softwareprodukte vieler Entwicklungsunternehmen beeinträchtigt. Ihre Liste ist auf der Website. GitHub und wird regelmäßig aktualisiert. Infolgedessen wurden auch Organisationen, die eines dieser Produkte verwendeten, dieser Bedrohung ausgesetzt.

Seit der Entdeckung von Log4Shell wurden bereits drei Updates der Log4j-Bibliothek veröffentlicht, die meisten Entwickler haben ihre Lösungen auf sichere Versionen aktualisiert und die Schwachstelle wurde behoben. Einige Produkte, die mit anfälligen Modulen erstellt wurden, sind jedoch immer noch anfällig für Malware. Darunter sind Lösungen von VMware. Trotz Verfügbarkeit vorhanden FleckenVMware Horizon Systems und Unified Access Gateway (UAG)-Server werden bis heute von Hackern angegriffen, um einen ersten Zugriff auf Organisationen zu erhalten, die verfügbare Patches noch nicht angewendet haben.

Zuletzt warnten die US Cybersecurity and Infrastructure Security Agency (CISA) und das US Cyber ​​​​Command (CGCYBER) Cybersicherheitsexperten vor Spitzen bei Angriffen mit Log4Shell, indem sie ein gemeinsames herausgaben Sicherheitsbulletin. Konkret heißt es, dass verschiedene APT-Fraktionen weiterhin Log4Shell (CVE-2021-44228) auf VMware Horizon- und Unified Access Gateway (UAG)-Servern verwenden. Die Experten rieten Organisationen, die noch keine VMware-Updates auf Log4Shell angewendet haben, sich bereits als kompromittiert zu betrachten und nach Bedrohungen zu suchen. CISA und CGCYBER haben auch Berichte mit Kompromittierungsindikatoren (IoCs) erstellt, auf deren Grundlage geschlossen werden kann, dass es eine kompromittierte Infrastruktur in der Organisation gibt.

Links zu Kopien von Indikatoren für Kompromisse (IOCs):

MAR-10382580-1

MAR-10382254-1

Denken Sie daran, dass der Prozess der Suche nach Kompromittierungsindikatoren in der Infrastruktur manuell durchgeführt werden kann, was normalerweise zu hohen Ressourcen- und Zeitkosten führt, oder mithilfe spezieller Thread Intelligence Platform (TIP)-Plattformen erstellt werden kann, die es Ihnen ermöglichen, aktuelle Informationen zu erhalten – Informationen über Kompromittierungsindikatoren aus zuverlässigen Quellen datieren, den Erkennungsprozess automatisieren und dadurch die Reaktion auf die Bedrohung beschleunigen. Mehr über Thread Intelligence erfahren Sie in einem weiteren Artikel in unserem Blog.

Unten stellen CISA und CGCYBER einige neuere Beispiele für die erfolgreiche Ausnutzung einer Log4Shell-Schwachstelle vor, um Zugriff auf die Server zweier Organisationen zu erhalten.

Organisation 1

Von April bis Mai 2022 wurde in Organization1 CISA bidirektionaler Datenverkehr in Verbindung mit der bereits bekannten bösartigen IP-Adresse 104 erkannt[.]223[.]34[.]198. Im Laufe der Untersuchung stellte sich heraus, dass die Organisation1 von mehreren Angreifern gleichzeitig kompromittiert wurde. Vermutlich geschah dies zwischen Ende Januar und Mai 2022. Nach dem Eindringen nutzten die Angreifer PowerShell-Skripte, um über HTTP mit dem Server zu kommunizieren. Außerdem versuchten die Hacker, eine bösartige ausführbare Datei herunterzuladen und vom Server 104 auszuführen[.]155 [.]149[.]103, das Teil der C2-Infrastruktur war. Nachdem sie sich Zugang verschafft hatten, durchquerten die Angreifer die Infrastruktur mithilfe des Remote Desktop Protocol (RDP) horizontal. Auf diese Weise gelangten die Hacker zum Zertifizierungsserver, zum Sicherheitsverwaltungsserver, zum Server mit der Datenbank, die kritische Daten enthielt, zum Mailserver und erlangten auch Zugriff auf das Disaster-Recovery-Netzwerk der Infrastruktur. Außerdem übernahmen die Angreifer die Daten von Administratorkonten. Wie dies geschah, ist nicht bekannt. Danach luden sie die Malware herunter und führten die ausführbare Datei mit Administratorrechten aus. So haben Sie die Möglichkeit, zusätzliche Malware herunterzuladen, den Desktop zu überwachen, Reverse Shell auszuführen, dh mit einem Remote-Computer zu interagieren, und Daten zu exfiltrieren (unautorisierte Übertragung / Diebstahl von Daten von einem Computer). Diese ausführbare Datei könnte auch als Proxy-Server fungieren.

Die CISA-Untersuchung fand die folgenden Malware-Loader:

SvcEdge.exe ist ein bösartiger Download für Windows, der eine verschlüsselte ausführbare Datei f7_dump_64.exe enthält, die nach der Ausführung von SvcEdge.exe entschlüsselt und in den Speicher geladen wurde und auch eine Verbindung zum C2-Server 134.119.177 herstellte[.]107.

odbccads.exe, Lober.exe, Fontdrvhosts.exe und Winds.exe sind verschlüsselte bösartige Dateien, nach der Ausführung versuchten die Angreifer, den C2-Server 134.119.177 zu kontaktieren[.]107, 162.245.190[.]203, 155.94.211[.]207 und 185.136.163[.]104.

error_401.jsp ist eine Webshell, die entwickelt wurde, um Daten zu parsen und Befehle über HTTP-Anfragen zu senden. Bietet Fernsteuerung über bereits kompromittierte Linux- und Windows-Server, Hochladen und Herunterladen bösartiger Dateien. Alle Daten wurden mit RC4 verschlüsselt.

newdev.dll ist eine schädliche Bibliothek, die als Dienst im Benutzerprofil ausgeführt wird. Der Pfad, in dem sich die Bibliothek %user%\AppData\Roaming\newdev.dll befand. Leider war CISA nicht in der Lage, die Datei für eine detaillierte Analyse wiederherzustellen. Insgesamt gelang es den Angreifern, mehr als 130 GB an Regierungsdaten zu stehlen.

Organisation 2

Organisation 2 wurde ebenfalls durch Ausbeutung kompromittiert
Log4Shell-Schwachstellen in VMware Horizon. Zugriff auf die Infrastruktur haben,
Die Angreifer haben die Datei hmsvc.exe auf das kompromittierte System hochgeladen. Des Weiteren
es wurde versucht, eine Verbindung zum Server 104.223.34 aufzubauen[.]198.

CISA und CGCYBER analysierten eine ausführbare Datei, die sich als ausgab
legitimer Microsoft Windows-Dienst (Sysinternals Logging Sessions-Software) [T1036.004]: Datei
wurde mit den höchsten Rechten NT AUTHORITY\SYSTEM gestartet. hmsvc.exe und geladen
zusätzliche schädliche 658_dump_64.exe, die Angreifern zur Verfügung stellt
eine Reihe von Funktionen, einschließlich der Aufzeichnung von Tastenanschlägen [T1056.001],
Laden zusätzlicher ausführbarer Dateien und einer grafischen Oberfläche für
Überwachung der Aktivitäten der Opfer.

Technisch sah das so aus: Zuerst wurde die hmsvc.exe ausgeführt, die erstellt wurde
Task im Scheduler: C:\Windwos\System32\Tasks\Local Session Updater. Mit diesem
Aufgabe wurde stündlich Malware gestartet, danach
zwei Dateien mit der Erweiterung *.tmp und einem zufälligen Namen im Verzeichnis %user%\AppData\Local\Temp und es wurde versucht, eine Verbindung zum C2-Server 192.95.20 herzustellen[.]8 verwenden
Nicht-Standard-Port 4443. Der gesamte Datenverkehr wurde mit einem 128-Bit-Schlüssel verschlüsselt.

Weitere Informationen zu diesen Malware-Beispielen finden Sie im Dokument MAR-10382254-1.

In einem veröffentlichten Sicherheitsbulletin stellten CISA und CGCYBER auch Anleitungen bereit, was zu tun ist, wenn ein Host oder eine Gruppe von Hosts kompromittiert wird:

  • Isolieren Sie sofort den Stromkreis, in dem die Erkennung aufgetreten ist;

  • Sammeln und analysieren Sie Artefakte: RAM-Dump (Auslagerungsdatei, Ruhezustandsdatei), Ereignisprotokolle, Prefetch und andere.

Um das Risiko eines unbefugten Zugriffs auf Ihre Systeme mithilfe der Log4shell-Schwachstelle zu minimieren, raten Experten im Allgemeinen, wann immer möglich, nur aktualisierte Versionen von VMware Horizon- und UAG-Systemen zu aktualisieren oder zu installieren.

Darüber hinaus ist das Installieren von Updates eines der wichtigsten Dinge, die Sie tun können, um sich vor dieser und vielen anderen Bedrohungen zu schützen. Wenn Sie jedoch aus irgendeinem Grund nicht alle relevanten Systeme aktualisieren können, empfehlen wir einige vorbeugende Maßnahmen, die die Wahrscheinlichkeit eines Angriffs mit Log4shell verringern. Dazu benötigen Sie:

  • Befolgen Sie die Cyber-Hygieneregeln: Speichern Sie keine vertraulichen Daten auf Geräten, auf die über das Internet zugegriffen werden kann, verwenden Sie moderne Anti-Malware-Lösungen, verwenden Sie starke Passwörter, aktivieren Sie die Multi-Faktor-Authentifizierung und beschränken Sie den Benutzerzugriff nach dem Prinzip der geringsten Rechte);

  • Halten Sie die gesamte Software auf dem neuesten Stand, reagieren Sie zeitnah auf veröffentlichte Informationen über entdeckte Schwachstellen und beheben Sie diese vorrangig;

  • Minimieren Sie die Angriffsfläche über das Internet, indem Sie wichtige Dienste in einer separaten DMZ platzieren.

  • Bieten Sie eine strenge Zugangskontrolle zum Netzwerkperimeter, indem Sie sich weigern, mit dem Internet verbundene Dienste zu hosten, die für den Geschäftsbetrieb nicht erforderlich sind.

  • Bauen Sie eine „Zero Trust“-Architektur auf.

Vielen Dank für Ihre Aufmerksamkeit! Ich hoffe, dieser Artikel ist nützlich und das oben beschriebene Problem wird Ihre Organisation umgehen. Wenn Sie etwas hinzuzufügen haben – schreiben Sie, es wird sehr interessant zu lesen! 🙂

Autor: Anton Kuznetsov, führender Ingenieur für Informationssicherheit R Vision

Similar Posts

Leave a Reply

Your email address will not be published.