2021年12月、多くの人々が静かな年末を待ち望んでいた頃、Apache Log4jロギング・ユーティリティの脆弱性であるLog4Shellがシーンに登場した。比較的容易なリモート・コード実行とApache Log4jユーティリティの広範な使用の組み合わせにより、この脆弱性は非常にニュース価値が高く、セキュリティ・チームが総出で取り組むことを要求した。Nozomi Networks Labsは2021年12月に、この脆弱性の初期の解剖と、Log4Shellを悪用しようとしたMuhstikボットネットの詳細な分析をブログで発表した。
ほとんどの大規模なゼロデイと同様に、Log4Shellは、それが展開する中で多くの報道を受けました。このブログでは、さらに一歩踏み込んで、Nozomi Networks から、Log4Shellが一段落した後に長期的なセキュリティを提供する追加のツールや洞察を紹介したいと思います。
識別は検出と同じくらい重要
最初の発見期間中、セキュリティチームがLog4Shellエクスプロイトに関連する可能性のある不審なトラフィックを特定できるように、IOC(侵害の指標)が公開された。これは、新しいエクスプロイトと戦う際には非常に有用ですが、すでに手薄になっているセキュリティチームにとっては、手作業でやや時間のかかるプロセスです。Nozomi Networks が最初にとったステップは、Log4Shellの脆弱性に関連するCVE(共通脆弱性・暴露)に結びついたパケット・ルールを開発することだった。Log4Shellを悪用しようとしていることを示すペイロードを含む通信が検出されたというアラートを表示させることは、複数のIOCをつなぎ合わせて攻撃をまとめるよりもずっと簡単です。
Log4jの周りにリリースされたコンテンツ・ルールの小さなサンプル:
もちろん、エクスプロイトに関しては、パケット検知は氷山の一角だ。アクティブなエクスプロイト1つに対して、エクスプロイトされやすいシステムは何百もあるかもしれない。これは、脆弱性が、ゼロデイを封じ込めるための最初のラッシュが過ぎ去った後、長い間悪用されるかもしれない、限られた接続性(オフショアプラットフォーム、パイプライン監視システム、エアギャップ精油所など)を持つかもしれないOT 環境を扱うとき、さらに問題です。Nozomi Networks Labs は、Log4j に対する保護を継続的に改善するために、脆弱な Apache ライブラリを持つシステムをハイライトするためにAsset Intelligence サブスクリプションを利用しています。同じネットワーク上の機密性の高いOT 資産を妨害しないようにしながら、Windows と Linux を選択的にポーリングするSmart Polling 機能と組み合わせることをお勧めします。この情報を利用することで、セキュリティチームは、環境内の脆弱な資産を迅速に特定し、適切なパッチを展開しながら、適切な保護(ファイアウォールやIPSのルールセットでの選択的なブロックなど)を行うことができます。
検出戦略の共有
SOCやNOC(セキュリティ/ネットワーク・オペレーション・センター)には、ワールドカップの試合を見るためだけのスクリーンがずらりと並んでいるわけではない。セキュリティ・チームには、環境のリスクを素早く評価するための「一目でわかる」方法が必要です。Nozomi Networks 最近、共通の脅威や共有プロセスに関するクエリやダッシュボードをコミュニティ全体で素早く共有できる「コンテンツ・パック」という機能がリリースされました。ラボチームは、Log4Shell 攻撃に特化したクエリを迅速に共有できるように、コンテンツパックをまとめました。
いったんクエリーが作成されれば、そのクエリーを.jsonファイルとしてエクスポートし、他のユーザーと共有するのは簡単なことです。これらは、単にクエリそのものであり、顧客の環境に固有のデータを含まないことを理解することが重要です。例えば、Log4j Content Pack .jsonファイルは次のようになります:
[[{"e":"query","h":350,"w":6,"opts":{"query":"alerts | where threat_name include? CVE-2021-44228 | group_by name | pie name count","description":"log4j - Pie Chart for Stix Indicator hits"}},{"e":"query","h":400,"w":6,"opts":{"query":"alerts | where trigger_id == 2034649 OR trigger_id == 2034650 OR trigger_id == 2034651 OR trigger_id == 2034652 OR trigger_id == 2034653 OR trigger_id == 2034654 OR trigger_id == 2034656 OR trigger_id == 2034657 OR trigger_id == 9000208 OR trigger_id == 9000209 | group_by ip_src | pie ip_src count","description":"log4j - Packet Rule hits - Pie Chart with Attacker IP"}},{"e":"query","h":400,"w":6,"opts":{"query":"alerts | where trigger_id == 2034649 OR trigger_id == 2034650 OR trigger_id == 2034651 OR trigger_id == 2034652 OR trigger_id == 2034653 OR trigger_id == 2034654 OR trigger_id == 2034656 OR trigger_id == 2034657 OR trigger_id == 9000208 OR trigger_id == 9000209 | group_by ip_dst | pie ip_dst count","description":"log4j - Packet Rule hits - Pie Chart with Victim IP"}},{"e":"alerted-nodes-number","h":350,"w":3,"opts":{}},{"e":"query","h":350,"w":12,"opts":{"query":"alerts | where trigger_id == 2034649 OR trigger_id == 2034650 OR trigger_id == 2034651 OR trigger_id == 2034652 OR trigger_id == 2034653 OR trigger_id == 2034654 OR trigger_id == 2034656 OR trigger_id == 2034657 OR trigger_id == 9000208 OR trigger_id == 9000209","description":"log4j Packet Rule hits"}},{"e":"query","h":350,"w":12,"opts":{"query":"alerts | where threat_name include? CVE-2021-44228","description":"log4j Stix Indicator hits"}}]]
これらのクエリーを自分で構築することもできますが、.jsonファイルをインポートウィンドウにドラッグ&ドロップするだけで、すぐに使い始めることができます。さらに重要なことは、Nozomi Networks Labsがアップデートやインターネットへの直接接続を必要とすることなく、新しい脅威に関するコンテンツを迅速に共有できることです。もちろん、この機能は、お客様が社内または社外の大規模なコミュニティとクエリを共有するために簡単に使用することができます。
そのため、新しい脅威の早期発見を強調することは重要だが、長期的に対処するための計画を立てることも重要だ。ゼロデイ検出は素晴らしいが、セキュリティ・チームが日常的に対処していることの一部に過ぎない。脅威が特定された後は、脆弱性のあるシステムを追跡し、ネットワークへのリスク低減の進捗を示すことが、もう一つのフルタイムの仕事になります。Log4jのような大きな見出しのゼロデイは、サイバーセキュリティの専門家にとっては始まりに過ぎず、コンテンツパックの追加により、Nozomi Networks 、検出と予防の戦略を共有する速度を向上させることができる。
