NetProfilerとAppResponseを使用したLog4J脅威ハンティング

SHARE ON:

最近発見されたJavaロギングユーティリティLog4J(CVE-2021-44228)の脆弱性により、さまざまな一般的なソフトウェアでリモートコード実行が悪用される可能性があります。

これは、Javaユーティリティに埋め込まれた悪意のあるコードをダウンロードして実行することで発生します。このような方法で細工されていると、識別が困難になることがあります。より直接的なマルウェアキャンペーンと比較して、この脆弱性には多くの潜在的なエクスプロイトがあります。Microsoftは、Azureサービスで検出されたこの脆弱性を利用していると思われるIPのリストを維持しています。ただし、これらの悪意のある行為は脆弱でないスキャンシステムも存在するため、ポジティブな指標を注意深く調べる必要もあります。スキャナーは脆弱なシステムを探しているため、スキャナーからの着信通信の受信は、発信通信ほど決定的なものではありません。

この脆弱性は非常に多くのシステムに影響を与える可能性があるため、ネットワーク履歴をすぐに調べることが非常に重要です。 Riverbed NetProfilerを使用して、現在および過去の両方でこの脅威の影響を受けたフローとホストを特定し、Riverbed AppResponseを使用してWebアプリケーショントラフィックを分析し、実際の脆弱性を特定できます。

 

NetProfilerを使用したLog4J脅威ハンティング

NetProfilerでAdvanced Security Moduleを使用すると、過去にさかのぼってLog4Jの脆弱性にさらされているかを確認できます。NetProfilerは、頻繁に更新される脅威フィードを、新しくキャプチャおよび保存されたフローデータに対して実行する特定の基準を含む脆弱性情報のソースとして使用します。

下の図では、脅威フィードからLog4Shellの既知のエクスプロイトを選択し、レポートを実行して、ネットワークに最初に出現したときに影響を受けているかどうか、および影響を受けているホストを確認できることができます。下の図は先週(12月7日~12日)のレポートを表示しています。

Traffic Report showing a week's worth of traffic.

Traffic Report showing a week’s worth of traffic.

一部の専門家は、この脆弱性が最初に発生したのは12月1日頃であると考えているため、検索をさらに遡ることができます。下の図では、12月1日までさかのぼって検索しています。

Extending our Traffic Report back to Dec. 1 when Log4J is thought to have started.

Extending our Traffic Report back to Dec. 1 when Log4J is thought to have started.

 

AppResponseを使用したLog4J脅威ハンティング

AppResponse11内のWeb Transaction Analyzerモジュール(WTA)を使用すると、バイトパターンを使用してHTTPヘッダーとペイロードを検索し、アプリケーションの観点からLog4Jの脆弱性を検索できます。

次の図では、WTA内で、いくつかのカスタム変数を使用して、アプリケーショントラフィックの本文、URL、およびヘッダー内を検索し、いずれかの条件が合致するかどうかを確認できます。ここでは特に、脆弱性によって使用されるエクスプロイトメカニズムの重要な部分であるJNDIルックアップを探しています。これらの条件を拡張して、セキュリティ体制の一部として脆弱性スキャンを正当な理由で実行している特定のソースIPを除外することもできます。

Using AppResponse WTA to set custom variables to detect certain conditions within the body, URL, and header of application traffic.

回避策として

NetProfilerとAppResponseを使用して徹底的にスキャンした後、Log4Jの脆弱性からシステムを保護するために以下の手順も検討してください。

  • AWSWAFなどのアプリケーションレイヤーファイアウォールを有効にします。これにより、クラウドベースのアプリケーションと一部のSaaSアプリケーションを保護することでリスクを大幅に削減できます。
  • パブリックインターネットへのアウトバウンドLDAPをブロックする
  • 10以上のlog4jバージョンの場合、log4j2.formatMsgNoLookupsをtrueに設定します
  • そしてもちろん、インターネット向けと社内システムの両方に最新のパッチをインストールすることを常に検討してください。

「見えないものの安全を担保することはできない」という古い技術の格言は、今まで以上に強烈な意味を持ちます。可視性はネットワークセキュリティの基礎であり、Riverbed NetProfilerやAppResponseなどの強力な可視性ツールを使用することで、ネットワークで起こっているすべてのことをリアルタイムと過去の両方で深く広く認識できます。

No Responses to “NetProfilerとAppResponseを使用したLog4J脅威ハンティング”

Leave a Reply

Your email address will not be published. Required fields are marked *

top.name