Anfangszugriff: Log4j-Kompromittierungsversuch

In diesem Dokument wird ein Typ von Bedrohungsergebnissen in Security Command Center beschrieben. Bedrohungsergebnisse werden von Bedrohungsdetektoren generiert, wenn sie eine potenzielle Bedrohung in Ihren Cloud-Ressourcen erkennen. Eine vollständige Liste der verfügbaren Bedrohungsergebnisse finden Sie im Index der Bedrohungsergebnisse.

Übersicht

Dieses Ergebnis wird generiert, wenn JNDI-Lookups (Java Naming and Directory Interface) in Headern oder URL-Parametern erkannt werden. Diese Lookups können auf Versuche der Ausnutzung von Log4Shell-Exploits hinweisen.

So reagieren Sie

Gehen Sie folgendermaßen vor, um auf dieses Ergebnis zu reagieren:

Schritt 1: Ergebnisdetails prüfen

1. Öffnen Sie ein Initial Access: Log4j Compromise Attempt-Ergebnis, wie unter Ergebnisdetails prüfen beschrieben. Der Detailbereich für das Ergebnis wird geöffnet und der Tab Zusammenfassung wird angezeigt.

2. Sehen Sie sich auf dem Tab Zusammenfassung die Informationen in den folgenden Abschnitten an:

   • Was wurde erkannt?
   • Betroffene Ressource
   • Weitere Informationen, insbesondere die folgenden Felder:
     • Cloud Logging-URI: Link zu Logging-Einträgen.
     • MITRE-ATT&CK-Methode: Link zur MITRE-ATT&CK-Dokumentation.
     • Ähnliche Ergebnisse: Links zu ähnlichen Ergebnissen.
   • Klicken Sie in der Detailansicht des Ergebnisses auf den Tab JSON.

   • Achten Sie in der JSON-Datei auf die folgenden Felder.

   • properties

     • loadBalancerName: Der Name des Load-Balancers, der die JNDI-Suche erhalten hat.
     • requestUrl: Die Anfrage-URL der HTTP-Anfrage. Falls vorhanden, enthält dies ein JNDI-Lookup.
     • requestUserAgent: Der User-Agent, der die HTTP-Anfrage gesendet hat. Falls vorhanden, enthält dies ein JNDI-Lookup.
     • refererUrl: Die URL der Seite, die die HTTP-Anfrage gesendet hat. Falls vorhanden, enthält dies ein JNDI-Lookup.

Schritt 2: Protokolle prüfen

1. Rufen Sie in der Google Cloud Console den Log-Explorer auf. Klicken Sie dazu auf den Link im Feld Cloud Logging-URI aus Schritt 1.

2. Prüfen Sie auf der Seite, die geladen wird, die Felder httpRequest auf String-Tokens wie ${jndi:ldap://, die mögliche Angriffsversuche anzeigen können.

   Unter CVE-2021-44228: Log4Shell-Exploit erkennen in der Logging-Dokumentation finden Sie Beispielstrings, nach denen gesucht werden soll, und eine Beispielabfrage.

Schritt 3: Forschungsangriffe und Reaktionsmethoden

1. Prüfen Sie den MITRE-ATT&CK-Framework-Eintrag für diesen Ergebnistyp: Exploit Public-Facing Application.
2. Klicken Sie auf den Tab Zusammenfassung in den Ergebnisdetails in der Zeile Ähnliche Ergebnisse auf den Link unter Ähnliche Ergebnisse, um ähnliche Ergebnisse aufzurufen. Ähnliche Ergebnisse haben denselben Ergebnistyp und dieselbe Instanz und dasselbe Netzwerk.
3. Wenn Sie einen Antwortplan entwickeln möchten, kombinieren Sie Ihre Prüfungsergebnisse mit der MITRE-Forschung.

Schritt 4: Antwort implementieren

Der folgende Antwortplan ist möglicherweise für dieses Ergebnis geeignet, kann sich jedoch auch auf Vorgänge auswirken. Prüfen Sie die Informationen, die Sie im Rahmen Ihrer Untersuchung erfasst haben, sorgfältig, um die beste Lösung für die Ergebnisse zu ermitteln.

• Führen Sie ein Upgrade auf die neueste Version von Log4j durch.
• Folgen Sie den Empfehlungen vonGoogle Cloudzur Untersuchung und Reaktion auf die Sicherheitslücke „Apache Log4j“.
• Empfohlene Schutzmaßnahmen in Apache Log4j-Sicherheitslücken implementieren.
• Wenn Sie Google Cloud Armor verwenden, stellen Sie cve-canary rule in einer neuen oder vorhandenen Cloud Armor-Sicherheitsrichtlinie bereit. Weitere Informationen finden Sie unter Google Cloud Armor-WAF-Regel zur Bewahrung vor der Apache Log4j-Sicherheitslücke.

Nächste Schritte

• Informationen zum Arbeiten mit Bedrohungsbefunden in Security Command Center
• Weitere Informationen finden Sie im Index der Bedrohungsergebnisse.
• Informationen zum Überprüfen von Ergebnissen über die Google Cloud Console
• Dienste, die Bedrohungsbefunde generieren