Technologie
Produkte
Infomaterial
Unternehmen
Deutsch
Technologie
Produkte
Blog
Infomaterial
Unternehmen

Abwehr eines Log4Shell-Angriffs in normalen Benutzerumgebungen

Max Heinemeyer, Director of Threat Hunting | Justin Fier, Director of Cyber Intelligence & Analytics | Mittwoch, 15. Dezember 2021

In diesem Blogbeitrag befassen wir uns mit der Log4Shell-Sicherheitslücke und zeigen an Beispielen aus der Praxis, wie Darktrace Log4Shell-Angriffe in ganz normalen Benutzerumgebungen erkennt und abwehrt.

Log4Shell ist die Bezeichnung für CVE-2021-44228, eine Zero-Day-Sicherheitslücke der Risikostufe 10 in dem häufig genutzten Java-Logging-Dienstprogramm Log4j. Tag für Tag werden Sicherheitslücken entdeckt. Einige sind besonders gefährlich, und die Tatsache, dass dieses Open-Source-Dienstprogramm fast überall vorkommt, sogar im Mars-Helikopter Ingenuity, macht diese Schwachstelle umso bedrohlicher. Zum Zeitpunkt der Veröffentlichung dieses Blogbeitrags kommen immer noch neue Details zu Log4Shell ans Licht.

Normalerweise werden Zero-Day-Sicherheitslücken, die so viele Systeme betreffen, unter Verschluss gehalten und nur von Nationalstaaten für besonders wichtige Ziele oder Aktivitäten genutzt. Diese jedoch wurde erstmals auf Minecraft-Servern entdeckt, die von den Gamern für ihre Chats genutzt wurden.

Selbstverständlich muss die Log4Shell-Sicherheitslücke schnellstmöglich geschlossen werden, aber das kann dauern. Wie hier gezeigt, kann mithilfe verhaltensbasierter Erkennungsmethoden nach Hinweisen auf Post-Exploit-Aktivität gesucht werden, wie z.B. Scans, Bitcoin-Mining, laterale Bewegung usw.

Darktrace erkannte zunächst die Log4Shell-Sicherheitslücke auf einem extern zugänglichen Kundenserver, wie die anonymisierte Bedrohungsanalyse unten zeigt. Gemeldet wurde die Schwachstelle vom Cyber AI Analyst, woraufhin unser SOC-Team sie untersuchte. Beachten Sie bitte, dass hierfür bereits vorhandene Algorithmen verwendet wurden, d.h. ohne erneutes Anlernen der Classifier oder Anpassung der Response-Mechanismen als Reaktion auf die Log4Shell-Cyberangriffe.

Wie Log4Shell funktioniert

Die Sicherheitslücke basiert auf einer falschen Eingabevalidierung durch JNDI (Java Naming and Directory Interface). Es geht zunächst ein Befehl von einem HTTP User Agent ein, eine verschlüsselte HTTPS-Verbindung oder auch eine Chatroom-Nachricht, und wird dann von JNDI an das Zielsystem weitergeschickt und dort ausgeführt. Die meisten Bibliotheken und Anwendungen sind mit Kontroll- und Sicherheitsmechanismen ausgestattet, um genau das zu verhindern, aber wie man hier sieht, übersehen sie auch manchmal etwas.

Verschiedene Bedrohungsakteure haben begonnen, die Sicherheitslücke für Angriffe zu nutzen, von wahllosen Cryptomining-Kampagnen bis hin zu gezielten, hochkomplexen Angriffen.

Beispiel aus der Praxis – Fall 1: Ausnutzung der Log4Shell-Sicherheitslücke am Veröffentlichungsdatum der CVE-ID

Darktrace erkannte diesen ersten Vorfall am 10. Dezember, dem Tag, an dem die CVE-ID veröffentlicht wurde. Wir beobachten häufig, dass öffentlich dokumentierte Sicherheitslücken schon nach wenigen Tagen von Bedrohungsakteuren für ihre Zwecke missbraucht werden. Dieser Angriff zielte auf ein extern zugängliches Gerät in der DMZ eines Unternehmens ab. Darktrace hatte den Server aufgrund seines Verhaltens automatisch als extern zugängliches Gerät klassifiziert.

Das Unternehmen hatte Darktrace im lokalen Netzwerk implementiert, das neben Cloud, E-Mail und SaaS zu den vielen geschützten Bereichen gehörte. In dieser Konfiguration hatte Darktrace guten Einblick in den DMZ-Traffic. Antigena war in dieser Umgebung nicht aktiviert und Darktrace befand sich lediglich im Erkennungsmodus. Dennoch konnte der Kunde den Vorfall binnen weniger Stunden nach der ersten Warnmeldung identifizieren und beheben. Der Angriff fand automatisiert statt und hatte das Ziel, den Cryptominer Kinsing einzuschleusen.

Bei diesem Angriff sorgte der Angreifer dafür, dass die Kompromittierung nur schwer zu erkennen war. Dazu leitete er die anfängliche Command Injection mit HTTPS über das in normalen Benutzerumgebungen gängigere HTTP ein. Obwohl er mit dieser Methode die traditionellen regel- und signaturbasierten Systeme umgehen konnte, erkannte Darktrace nur Sekunden nach dem ersten Verbindungsaufbau mehrere ungewöhnliche Verhaltensweisen.

Details zur anfänglichen Kompromittierung

Durch die bisherigen Peer-Analysen wusste Darktrace, wie sich dieses spezifische DMZ-Gerät und seine Vergleichsgruppe normalerweise in der Umgebung verhalten. Bei dem anfänglichen Exploit erkannte Darktrace einige subtile Anomalien, die im Gesamtbild einen eindeutigen Hinweis auf den Angriff lieferten.

  1. 15:45:32 Eingehende HTTPS-Verbindung zu DMZ-Server von ungewöhnlicher russischer IP – 45.155.205[.]233.
  2. 15:45:38 DMZ-Server stellt neue ausgehende Verbindung zu dieser ungewöhnlichen russischen IP mit zwei neuen User-Agents (Java User Agent und Curl) her. Dies erfolgt über einen Port, über den normalerweise kein HTTP läuft.
  3. 15:45:39 DMZ-Server nutzt eine HTTP-Verbindung mit einem weiteren neuen Curl User Agent (‚curl/7.47.0‘) zu derselben russischen IP. Der URI enthält Auskundschaftungsinformationen vom DMZ-Server.

All diese Aktivitäten wurden nicht deshalb erkannt, weil Darktrace diese schon einmal gesehen hatte, sondern weil sie stark von den normalen Verhaltensmustern, den „Patterns of Life“, dieser und ähnlicher Server in dem Unternehmen abwichen.

Dieser Server verband sich sonst nie mit ungewöhnlichen IP-Adressen im Internet und nutzte nie solche User Agents und Protokoll-/Port-Kombinationen. Jede Anomalie für sich genommen ist vielleicht nicht besonders auffällig, aber alle zusammen – insbesondere im Zusammenhang mit dem spezifischen Gerät und der Umgebung – deuten zweifelsfrei auf einen laufenden Cyberangriff hin.

Darktrace erkannte diese Aktivität anhand der Abweichungen von mehreren Modellen, zum Beispiel:

  • Anomalous Connection / New User Agent to IP Without Hostname
  • Anomalous Connection / Callback on Web Facing Device

Anschließender Tool- und Cryptominer-Download

Noch nicht einmal 90 Minuten nach der anfänglichen Kompromittierung fing der infizierte Server an, schädliche Scripts und ausführbare Dateien von einer ungewöhnlichen ukrainischen IP (80.71.158[.]12) herunterzuladen.

Anschließend wurden der Reihe nach die folgenden Payloads von der ukrainischen IP heruntergeladen:

  • hXXp://80.71.158[.]12//lh.sh
  • hXXp://80.71.158[.]12/Expl[REDACTED].class
  • hXXp://80.71.158[.]12/kinsing
  • hXXp://80.71.158[.]12//libsystem.so
  • hXXp://80.71.158[.]12/Expl[REDACTED].class

Darktrace erkannte diesen nächsten Angriffsschritt in Echtzeit, ohne dass dafür Bedrohungsdaten oder Erkenntnisse basierend auf statischen Kompromittierungsindikatoren (IoC) wie IPs, Domainnamen oder Dateihashes nötig waren.

Der betreffende DMZ-Server hatte in der Vergangenheit nie mit dieser ukrainischen IP-Adresse über diese ungewöhnlichen Ports kommuniziert. Außerdem war es sehr ungewöhnlich, dass dieses Gerät und seine Vergleichsgruppe Scripts oder ausführbare Dateien von einem derartigen externen Ziel auf diese Art und Weise herunterluden. Gleich nach diesen Downloads begann der DMZ-Server mit dem Cryptomining.

Darktrace erkannte diese Aktivität anhand der Abweichungen von mehreren Modellen, zum Beispiel:

  • Anomalous File / Script from Rare External Location
  • Anomalous File / Internet Facing System File Download
  • Device / Internet Facing System with High Priority Alert

Sofortige Identifizierung des Log4Shell-Vorfalls

Darktrace erkannte nicht nur jeden einzelnen Schritt dieses Angriffs in Echtzeit, sondern der Darktrace Cyber AI Analyst lieferte auch ein Gesamtbild des Sicherheitsvorfalls in einem aufschlussreichen Bericht über den kompletten Angriff. Der Vorfall wurde von allen Vorfällen und Warnmeldungen, die in der betreffenden Woche in Darktrace angezeigt wurden, als derjenige mit der höchsten Priorität markiert. Das bedeutet, dass dieser Vorfall den menschlichen Sicherheitsteams als besonders dringlich angezeigt wurde. Der Darktrace Cyber AI Analyst erkannte jede Phase dieses Vorfalls und stellte genau die Fragen, die auch menschliche SOC-Analysten stellen würden. Ausgehend von dem in natürlicher Sprache erstellten Bericht des Cyber AI Analyst werden eine Zusammenfassung der einzelnen Phasen des Vorfalls sowie essenzielle Datenpunkte, die menschliche Analysten für ihre Untersuchungen brauchen, in einem leicht verständlichen Format präsentiert. Jede Registerkarte beschreibt einen anderen Teil dieses Vorfalls und zeigt, welche Schritte während der jeweiligen Untersuchung unternommen wurden.

Dadurch sparen sich die Sicherheitsteams den Aufwand, alle möglichen Warnmeldungen zu durchforsten, isolierte Erkenntnisse einzeln auszuwerten, die Erkenntnisse in einen größeren Vorfallskontext einzuordnen und einen Bericht zu verfassen. All das hat der AI Analyst automatisch für sie erledigt und verschafft damit den menschlichen Teams wertvolle Zeit.

Der folgende Vorfallsbericht wurde automatisch erstellt und konnte als PDF in verschiedenen Sprachen heruntergeladen werden.

Abbildung 1: Der Darktrace Cyber AI Analyst identifiziert die verschiedenen Phasen des Angriffs und erläutert seine Vorgehensweise bei den Untersuchungen.

Beispiel aus der Praxis – Fall 2: Abwehr eines weiteren Angriffs über die Log4Shell-Sicherheitslücke

Am 12. Dezember wurde der extern zugängliche Server eines weiteren Unternehmens über die Log4Shell-Sicherheitslücke kompromittiert. Auch wenn diese Kompromittierung anders aussah – es waren andere IoCs beteiligt –, erkannte und identifizierte Darktrace den Angriff ähnlich wie im ersten Beispiel.

Das Unternehmen hatte Darktrace Antigena im Autonomous-Modus auf seinem Server aktiviert, sodass die KI eigenständig eingreifen und den laufenden Cyberangriff stoppen konnte. Die Maßnahmen können dabei sehr vielfältig sein. So kann Darktrace etwa über APIs mit Firewalls und anderen Sicherheitstools interagieren oder nativ auf Bedrohungen reagieren.

Bei diesem Angriff wurde die ungewöhnliche externe IP 164.52.212[.]196 für die Command & Control (C2)-Kommunikation und die Malware-Einschleusung (mit HTTP über Port 88) genutzt, was für dieses Gerät, seine Vergleichsgruppe und das Unternehmen insgesamt sehr ungewöhnlich war.

Antigena reagierte in Echtzeit basierend auf dem spezifischen Kontext des Angriffs, ohne dass ein Mensch eingreifen musste. In diesem Fall nutzte Antigena die Firewall des Unternehmens, um alle Verbindungen zu oder von der schädlichen IP-Adresse (164.52.212[.]196) über Port 88 für zwei Stunden zu blockieren – mit der Option, diese Zeitspanne zu verlängern oder die Maßnahme zu eskalieren, sollte der Angriff andauern. Die folgende Abbildung zeigt das Vorgehen:

Abbildung 2: Von Antigena ergriffene Maßnahmen

Der Trick bei der Sache: Dank selbstlernender KI weiß Darktrace genau, wie sich der extern zugängliche Server normalerweise verhält, und das bis ins kleinste Detail. Die verschiedenen Anomalien sind für Darktrace ein sicherer Hinweis, dass es sich um einen größeren Cyberangriff handelt.

Jetzt schreitet Antigena ein und setzt das normale „Pattern of Life“ dieses Servers in der DMZ durch. Der Server kann also ganz normal weiterlaufen, allein die in hohem Maße anormalen Aktivitäten werden in Echtzeit unterbunden, etwa die HTTP-Kommunikation über Port 88 mit einer ungewöhnlichen externen IP für den Download ausführbarer Dateien.

Natürlich kann ein Mensch die Blockierung jederzeit ändern oder aufheben. Antigena kann zudem im „Human Confirmation Mode“ genutzt werden, d.h., dass zu bestimmten Tageszeiten (z.B. während der Bürozeiten) oder grundsätzlich ein menschlicher Benutzer sein Okay zu den vorgeschlagenen Maßnahmen geben muss. Welche Konfiguration am besten geeignet ist, hängt von den Ansprüchen und Anforderungen des Unternehmens ab.

Zusammenfassung

Dieser Blogbeitrag beschreibt weitere Aspekte von Cyberangriffen, die sich die Log4Shell-Sicherheitslücke zunutze machen. Er zeigt auch, wie Darktrace Zero-Day-Angriffe erkennt und abwehrt, sofern Darktrace Einblick in die angegriffenen Bereiche hat.

Auch wenn Log4Shell gerade die Schlagzeilen in der IT- und Sicherheitsbranche beherrscht, gab es schon immer ähnliche Sicherheitslücken und es wird sie auch in Zukunft geben. Wir haben bereits über unsere Herangehensweise bei der Erkennung und Abwehr ähnlicher Sicherheitslücken und Cyberangriffe gesprochen, darunter:

  • die Gitlab-Sicherheitslücke, die vor kurzem entdeckt wurde
  • die ProxyShell-Sicherheitslücken von Exchange-Servern, als es sich noch um Zero-Day-Schwachstellen handelte, und
  • die Citrix Netscaler-Sicherheitslücke.

Auch hier unser Rat: Unternehmen sollten auf eine tiefgreifende Abwehrstrategie setzen, die präventive Sicherheitsmechanismen mit Erkennungs- und Response-Mechanismen sowie robustem Patch-Management kombiniert.

Vielen Dank an Brianna Leddy (Director of Analysis bei Darktrace) für die Einblicke in diesen Bedrohungsvorfall.

Max Heinemeyer

Max is a cyber security expert with over a decade of experience in the field, specializing in a wide range of areas such as Penetration Testing, Red-Teaming, SIEM and SOC consulting and hunting Advanced Persistent Threat (APT) groups. At Darktrace, Max oversees global threat hunting efforts, working with strategic customers to investigate and respond to cyber-threats. He works closely with the R&D team at Darktrace’s Cambridge UK headquarters, leading research into new AI innovations and their various defensive and offensive applications. Max’s insights are regularly featured in international media outlets such as the BBC, Forbes and WIRED. When living in Germany, he was an active member of the Chaos Computer Club. Max holds an MSc from the University of Duisburg-Essen and a BSc from the Cooperative State University Stuttgart in International Business Information Systems.

Justin Fier

Justin is one of the US’s leading cyber intelligence experts, and holds the position of VP, Tactical Risk and Response at Darktrace. His insights on cyber security and artificial intelligence have been widely reported in leading media outlets, including the Wall Street Journal, CNN, The Washington Post, and VICELAND. With over 10 years’ experience in cyber defense, Justin has supported various elements in the US intelligence community, holding mission-critical security roles with Lockheed Martin, Northrop Grumman Mission Systems and Abraxas. Justin is also a highly-skilled technical specialist, and works with Darktrace’s strategic global customers on threat analysis, defensive cyber operations, protecting IoT, and machine learning.