2021年12月22日(水)
著者:NASH BORGES、PAUL DIORIO
※本記事は、 https://www.secureworks.com/ で公開されている Log4j Threat Hunting Advice を翻訳したもので、 2021年12月22日執筆時点の見解となります。
Log4jのリモートコード実行に関する脆弱性(CVE-2021-44228=別名Log4Shell、CVE-2021-45046、CVE-2021-45105)の第一報が伝えられてから、Secureworks®はお客様環境の脆弱性の有無、実施されたスキャン行為の種類、さらに侵入行為の有無の判断などに関する支援を行なってきました。Secureworks Counter Threat Unit™ (CTU™) チームが先日公表したブログ(Log4Shell: Easy to Launch the Attack but Hard to Stick the Landing?)では、「今般の脆弱性は深刻な脅威ではあるものの、これまでの状況をみると攻撃の達成は思ったほど簡単ではないこと」、「影響範囲や全体像はまだ明らかになっていない」という見解をご紹介しました。
しかし、これに便乗した攻撃者が次々と参入するにつれ、当社が兆候として検知する「攻撃の試み」も増えており、その一部は実際の侵入へと発展しています。例えばSecureworks Taegis™ XDRでは、エンコードされたコマンドをはじめとするいくつかの攻撃の試みが確認されています。検知されたコマンドの目的は、初期アクセスのための不正スクリプトのダウンロード、仮想通貨マイニングマルウェアの起動、標的システムで発見した認証情報の窃取、後の攻撃に向けた脆弱性の確認と記録、リモートシェル実行のため巧妙に細工したデータの挿入などでした。こうした活動の大半はインターネット上の脆弱なシステムを物色するための大量スキャン行為ですが、なかには標的を慎重に見極め、リモートコードを実行させる不正コンテンツのホスト環境として、敢えて侵害されたウェブサイトを使用するケースもあります。
当社は企業や組織の統合的なネットワーク防御を支援し、全世界のセキュリティコミュニティの一員として緊急事態に立ち向かうという意志のもと、通常のスキャン行為やリサーチ目的のトラフィックとは異なる特性を示す、悪意あるIPアドレスを一覧化して公表しています。さらに、攻撃の試みに続く後続的な侵入段階の全容解明を助け、プロセスウォッチリストやDNSシンクホールの作成に役立てるよう、JNDIの「Command/Base64」パラメーターに埋め込まれたコマンドをデコードしました。お客様自身、またはベンダーを介して脅威ハンティングを実施される際は、これらの不審なIPアドレスを注視し、スキャン行為の痕跡やリモートコード実行を試みた痕跡がないか警戒を怠らないようにしてください。該当するIPアドレスの存在だけで攻撃が成功したとは判断できませんが、さらなる精査をするのに充分な根拠となります。
Taegis ManagedXDRを担当する当社セキュリティチームでは、当該IPアドレスに関する活動に対して、どのタイミングでどのようにアラートを送信すべきか常に検討しています。しかし、こうした行為がリモートコード実行に発展したケースはほとんど確認されていません。したがって当社では、これらのIPアドレスを検知してもTaegisの自動アラートを送信するのではなく、積極的な脅威ハンティング(侵入証跡の探索)の材料として役立てるという決断に至りました。
該当するIPアドレスのデータは、当社が投稿したGitHub公開レポジトリからご覧いただけます。当社は今後とも、世界各地の関係者がLog4jの脆弱性の解明・検知および攻撃の阻止に向けて協力できるよう、支援を続けてまいります。
Log4jの脆弱性に関する詳細は、当社のFAQをご覧ください。インシデントの緊急対応サポートが必要な場合は、 インシデント対応チームまでお問い合わせください。サポート全般については、こちらのお問い合わせフォームにご記入のうえ、送信をお願いします。
- タグ:
- ブログ
