Med Log4j sÄrbarhet har den fulla effekten Ànnu inte kommit

Mandiant pÄminner oss: Glöm inte Log4j


Det finns inget sĂ€tt att sockra det: den utbredda sĂ„rbarheten i Apache Log4j kommer att utnyttjas för nĂ„gra otĂ€ckare cyberattacker Ă€n de vi har sett hittills. Och det vĂ€rsta av dem kan faktiskt ligga mĂ„nader – eller till och med Ă„r – in i framtiden.

Sofistikerade angripare skapar ofta en bakdörr till en exploaterad server, vilket gör att de kan kringgÄ sÀkerhetsverktyg nÀr de gÄr in och ut igen. SÄ Àven om en organisation har patchat mot sÄrbarheten i Log4j, kan en angripare vara kvar i nÀtverket, oupptÀckt, tills tiden Àr idealisk att slÄ till.

Om det lĂ„ter lĂ€skigt – ja, det borde det förmodligen.

“I mĂ„nga fall bryter angripare mot ett företag, fĂ„r tillgĂ„ng till nĂ€tverk och referenser och utnyttjar dem för att utföra enorma attacker mĂ„nader och Ă„r senare”, sĂ€ger Rob Gurzeev, medgrundare och VD för CyCognito.

Nya spelare

SÄrbarheten i det mycket anvÀnda Log4j-loggningsbiblioteket avslöjades offentligt för en vecka sedan, och ett angrepp pÄ mer Àn 1 miljon försök till attacker har följt, enligt Check Point. Forskare vid företaget sa att de har observerat försök till utnyttjande pÄ mer Àn 44 % av företagsnÀtverk vÀrlden över.

Det mesta av den skadliga attackvolymen under den senaste veckan har involverat “hobbyister” eller solooperatörer, sĂ€ger Casey Ellis, grundare och teknisk chef pĂ„ Bugcrowd. Men bevis har dykt upp för att mer sofistikerade hotaktörer har börjat utnyttja sĂ„rbarheten i Log4j ocksĂ„. Dessa inkluderar angripare som vill fĂ„ fotfĂ€ste i nĂ€tverk för att sĂ€lja den tillgĂ„ngen till ransomware-operatörer.

I jĂ€mförelse med hobbyisterna Ă€r dessa angripare mer som ett multinationellt företag, sa Ellis. “Deras affĂ€rsmodell Ă€r byggd pĂ„ skala och pĂ„litlighet för intrĂ„ng”, sa han.

Och avgörande, “sofistikerade angripare vill inte fastna innan de har fĂ„tt sitt jobb gjort, sĂ„ de tenderar att utveckla tekniker och operationsmetoder som gör dem tystare och svĂ„rare att se”, sa Ellis.

NÀr de vÀl har etablerat sig kommer sofistikerade angripare ofta att ta sig tid att kartlÀgga anvÀndare och sÀkerhetsprotokoll innan de utför den fulla bördan av sina attacker, sÀger Hank Schless, senior manager för sÀkerhetslösningar pÄ Lookout.

Detta hjĂ€lper dem att skapa strategier för hur de mest effektivt kan undvika befintliga sĂ€kerhetspraxis och verktyg, sade Schless, “samtidigt som de identifierar vilka delar av infrastrukturen som skulle vara mest effektiva för att kryptera för en ransomware-attack.”

Andra aktiviteter kan inkludera att exfiltrera data lĂ„ngsamt – sĂ„ lĂ„ngsamt att det vanligtvis inte kommer att blockeras eller upptĂ€ckas, sa Gurzeev.

Undviker upptÀckt

Det Ă€r inte sĂ„ att hackare inte kan upptĂ€ckas i den hĂ€r situationen, men de finslipar ocksĂ„ kontinuerligt sin taktik för att undvika upptĂ€cktsförsök, sĂ€ger Asaf Karas, teknisk chef för sĂ€kerhet pĂ„ JFrog. Under den senaste veckan “har vi redan sett anvĂ€ndningen av obfuskation för att undvika upptĂ€ckt,” sa Karas.

I fallet med Sony-intrĂ„nget 2014 rapporterade New York Times att angriparna tillbringade tvĂ„ mĂ„nader med att kartlĂ€gga företagets system och identifiera nyckelfiler. (“De var otroligt försiktiga och tĂ„lmodiga”, sa en person som informerades om utredningen till Times, pĂ„ tal om angriparna.) Wired rapporterade att angriparna kan ha stulit data under loppet av ett helt Ă„r.

Angriparna i SolarWinds Orion-intrĂ„nget tros under tiden ha haft tillgĂ„ng i nio mĂ„nader till “nĂ„gra av de mest sofistikerade nĂ€tverken i vĂ€rlden”, inklusive cybersĂ€kerhetsföretaget FireEye, Microsoft och det amerikanska finansdepartementet, sĂ€ger Peter Firstbrook, en research vice president och analytiker pĂ„ Gartner, vid företagets senaste sĂ€kerhetskonferens.

För angripare, “om motivet Ă€r att stjĂ€la kĂ€nslig information, kanske du vill vara riktigt tyst och bara lyssna in och stjĂ€la data nĂ€r den kommer”, sĂ€ger Sonali Shah, produktchef pĂ„ Invicti.

Men efter att ett intrĂ„ng har uppdagats Ă€r det inte alltid klart hur angriparna ens kom in frĂ„n början – sĂ€rskilt om det har gĂ„tt en lĂ„ng tid. Och det kan mycket vĂ€l vara fallet med alla större attacker som hĂ€rrör frĂ„n sĂ„rbarheten i Log4j, sa Gurzeev.

“Eftersom vi kanske bara lĂ€r oss om attackerna om mĂ„nader eller Ă„r frĂ„n nu, kan det vara svĂ„rt att korrelera,” sa han.

‘Himlen Ă€r grĂ€nsen’

Forskare har sagt att de förvÀntar sig mer allvarliga attacker frÄn sÄrbarheten i Log4j, kÀnd som Log4Shell. MÄnga applikationer och tjÀnster skrivna i Java Àr potentiellt sÄrbara för Log4Shell, vilket kan möjliggöra fjÀrrexekvering av kod av oautentiserade anvÀndare. Leverantörer inklusive Bitdefender och Microsoft har redan rapporterat försök till ransomware-attacker som utnyttjar sÄrbarheten i Log4j.

Dessutom sa Microsoft och cyberföretaget Mandiant denna vecka att de har observerat aktivitet frĂ„n nationalstatsgrupper – knutna till lĂ€nder inklusive Kina och Iran – som försöker utnyttja log4j-sĂ„rbarheten. I ett fall har en iransk grupp kĂ€nd som Phosphorus, som tidigare har distribuerat ransomware, setts “skaffa och göra Ă€ndringar av Log4j-exploatet”, sa Microsoft.

Sannolikheten för ransomware-attacker som hĂ€rrör frĂ„n Log4Shell Ă€r hög, har forskare sagt. Men nĂ€r det kommer till fjĂ€rrkörning av kod Ă€r “himlen grĂ€nsen för vad en angripare kan uppnĂ„ som slutresultat nĂ€r de pivoterar och utför kommandon pĂ„ andra appar, system och nĂ€tverk”, sĂ€ger Michael Isbitski, teknisk evangelist pĂ„ Salt Security .

PĂ„ grund av bristens utbredda karaktĂ€r kommer “den lĂ„nga svansen pĂ„ denna sĂ„rbarhet att bli ganska lĂ„ng”, sĂ€ger Andrew Morris, grundare och VD pĂ„ GreyNoise Intelligence. ”Det kommer förmodligen att ta ett tag innan det hĂ€r blir helt stĂ€dat. Och jag tror att det kommer att dröja lite innan vi börjar förstĂ„ omfattningen av pĂ„verkan frĂ„n detta.”

Svarsinsats

Den goda nyheten Ă€r att företag Ă„tminstone pĂ„ vissa sĂ€tt har bĂ€ttre förutsĂ€ttningar att undvika en katastrof nu Ă€n tidigare. Eftersom det Ă€r 2021, Ă€r mĂ„nga företag mer redo att reagera snabbt – vilket framgĂ„r av sĂ€kerhetsteamens snabba respons i slutet av förra veckan, av vilka mĂ„nga arbetade under helgen för att sĂ€kra sina system.

Samtidigt kan nyckelteknologier för försvarare som vill utrota angriparna som sitter i deras nÀtverk inkludera webbapplikationsbrandvÀgg (WAF) och intrÄngsskyddssystem (IPS), sa Ellis.

“En motiverad angripare kommer att hitta en förbifartsvĂ€g för dem, men bullret som genereras av alla andra kommer att avvisas under processen, vilket gör deras aktiviteter lĂ€ttare att se,” sa han.

För större organisationer “Ă€r det stora att göra allt du kan för att veta var Log4j Ă€r eller sannolikt kommer att vara i din miljö, sedan logga allt och titta pĂ„ det – sĂ€rskilt internt – som en hök, och behandla misstĂ€nkta attacker mot dessa system som Ă€ven om de var framgĂ„ngsrika, sa Ellis.

För mindre organisationer som kanske saknar personalstyrka för att göra detta, “att arbeta pĂ„ en “anta övertrĂ€delse”-basis och distribuera honeypots och honeytokens Ă€r ett lĂ„gbrus- och högsignalssĂ€tt för att upptĂ€cka aktivitet efter exploatering, sade han. Honeypots Ă€r falska “sĂ„rbara” servrar avsedda att fĂ„nga angripare pĂ„ bar gĂ€rning, medan honeytokens erbjuder ett liknande koncept men för data.

I slutÀndan Àr det ett avgörande första steg att fÄ grepp om alla tillgÄngar och system som organisationen har, sa Gurzeev.

“Du kan inte skydda det du inte vet,” sa han. “Men nĂ€r du vĂ€l vet det kan du stĂ€lla in kompenserande kontroller, tĂ€ppa till luckorna och vidta andra Ă„tgĂ€rder för att minimera kundrisk och affĂ€rsrisk – vilket borde vara allas högsta prioritet.”

VentureBeats uppdrag ska vara ett digitalt stadstorg för tekniska beslutsfattare att fÄ kunskap om transformativ företagsteknik och handla. LÀs mer om medlemskap.