Log2Shell 공격의 4단계에 대비했습니까?

새로 발견된 Log4Shell 제로데이 공격의 해일은 아직 결정되지 않았습니다. 많은 조직에서는 보고된 대규모 공격으로부터 면역이 되도록 서둘러 서버를 패치했습니다. 그러나 서버를 패치하는 것만으로는 이러한 중요한 문제를 해결하기에 충분하지 않습니다. 공격 표면 덮여있습니다. 업데이트된 log4j 버전을 실행하면 실제로 향후 공격으로부터 보호되지만 일부 서버가 손상될 수 있는 가능성도 해결해야 합니다. 이전에 패치에. 이 문서에서는 이 시나리오의 실행 가능성을 설명하고 이를 사전에 완화하기 위한 실행 가능한 권장 사항에 대해 후속 조치를 취할 것입니다.

Log4Shell-In-the-Wild 활동 요약

Apache Log4j는 엔터프라이즈 애플리케이션에서 널리 사용되는 오픈 소스 Java 기반 로깅 유틸리티입니다. Log4Shell(CVE-2021-44228)에 대한 초기 보고서는 9월 60일까지 거슬러 올라갑니다. 이 보고서에 이어 원래 익스플로잇의 새로운 변형이 24시간 이내에 XNUMX개 이상 빠르게 도입되는 새로운 익스플로잇 변종의 매우 빠른 개발이 이어졌습니다.[1] 또한 이 24시간 동안에만 전 세계적으로 조직에 대한 공격이 급증했으며, 다양한 보안 제공업체가 취약점을 악용하려는 해커의 표적이 되었다고 보고했습니다. [2] 현재 이 익스플로잇은 일반 맬웨어의 무기고에 빠르게 통합되었습니다.[3] 고급 국가 공격 그룹에서 사용 중인 것으로도 보고되었습니다.

위반 가정 – 그렇지 않다는 것이 입증될 때까지 공격

이러한 공격의 엄청난 양은 취약한 서버에 패치를 적용한 모든 보안 이해 관계자에게 문제가 됩니다. 취약점 악용의 빠른 개발 및 사용 속도는 패치가 적용되기 전에 귀하의 서버가 악용의 대상이 되었을 가능성이 최소한 있음을 의미합니다. 이 경우 보안 모범 사례는 이 위협이 확실하게 반증될 때까지 서버가 손상된 것처럼 행동하는 것이라고 굳게 믿습니다. 이 위협에 효율적으로 대처하는 방법을 가장 잘 이해하기 위해 이러한 손상의 다양한 의미를 검토해 보겠습니다.

조용한 침해 이후 가능한 2단계 위협 시나리오

때가 올 때까지 낮게 누워

Log4Shell 자체를 사용하면 공격자가 사용자 환경에 초기 기반을 구축할 수 있습니다. 이 거점은 공격자들의 목표가 아니라 필수적인 사전 단계이다. 즉, 공격자가 실제로 취약점을 악용하여 웹 연결 서버 중 하나에 존재하게 되었다면 자신의 관심을 끌 만한 인센티브가 없다는 의미입니다. 오히려 공격의 실제 목표를 실행하기 전에 추가 자격 증명을 수집하고 네트워크의 추가 시스템으로 확장하여 낮고 느리게 작동할 가능성이 더 높습니다. 우리가 보고 있는 일반적인 공격으로 판단해 보면 이 목표가 다음과 같을 가능성이 높습니다. 랜섬 공격을 하면 귀하의 운영이 중단될 수도 있지만 귀하의 지적 재산이나 직원이나 고객의 PII가 도용될 수도 있습니다.

액세스 판매

또는 공격자가 네트워크 자체에 대한 액세스를 사용하지 않을 수 있습니다. 오히려 그들은 다크 웹에서 제XNUMX자에게 서버 액세스 권한을 판매할 수 있습니다.

최종 결과: 측면 이동 및 랜섬웨어 전파에 노출

어떤 식으로든 왕국에 대한 키, 즉 표준 및 관리 사용자의 사용자 이름과 자격 증명을 가진 공격자가 있을 수 있습니다. 이는 초기 손상이 단일 시스템을 손상시키는 동안 나쁜 것입니다. 측면 운동 로컬 이벤트를 전사적 위험으로 바꾸는 부분입니다. 자격 증명이 손상되면 공격자가 바로 그렇게 할 수 있습니다.

크리스마스 효과

공격자는 일반적으로 휴일과 주말을 선택한다는 사실을 잊지 마십시오. 다가오는 크리스마스 연휴는 직원의 자격 증명이 잘못 사용되기에 특히 좋지 않은 시기입니다. 우리는 위에서 설명한 두 유형의 공격자가 적절한 시간을 기다리며 침묵을 지킬 것이라고 믿습니다. 크리스마스는 완벽한 타이밍이 될 수 있습니다.

Silverfort 손상된 자격 증명에 대한 모범 사례 권장 사항

위의 모든 사항에 비추어, 우리는 귀하의 서버 중 일부가 다음과 같은 공격자에 의해 손상되었을 가능성에 선제적으로 대처하기 위해 일련의 실행 가능한 모범 사례를 편집했습니다. Log4Shell 취약점 악용:

• 엔드투엔드 패치
  • 모든 취약한 시스템이 인터넷 연결 서버에 특별한 주의를 기울여 패치되었는지 확인하십시오.

• • 네트워크 수준과 ID 계층 모두에서 패치할 수 없는 애플리케이션을 격리합니다.

• 공격자의 능력 활용 방지 손상된 자격 증명 추가 악성 액세스

• • 요구 MFA 환경의 모든 리소스에 대한 모든 관리자 계정에 대해. 또한 다음과 같은 명령줄 유틸리티를 포함하여 액세스 인터페이스에 MFA 보호가 적용되는지 확인하십시오. PsExec의, PowerShell 등이 있으며 RDP 및 데스크톱 로그인뿐만 아니라
  • 제한 서비스 계정 허용된 컴퓨터에서만 작동합니다. 이러한 계정의 예측 가능하고 반복적인 동작을 기반으로 해야 합니다.
  • 단일 사용자의 동시 액세스 요청 급증 또는 사용자 계정의 표준 활동에서 다른 모든 편차와 같은 의심스럽고 악의적인 이벤트가 있는지 환경을 면밀히 모니터링하십시오.

이러한 권장 사항을 따르면 기존 Log4Shell 기반 손상에 대한 복원력이 크게 향상되고 추가 악의적인 액세스를 위해 도난당한 자격 증명을 활용할 수 있는 공격자의 능력이 무효화됩니다.

XNUMXD덴탈의 Silverfort 통합 ID 보호 플랫폼을 통해 사용자는 확장할 수 있습니다. 위험 기반 인증 모든 사용자, 서비스 또는 시스템에 대한 MFA를 통해 손상된 자격 증명을 사용하여 대상 리소스에 액세스하는 ID 기반 공격에 대한 사전 예방적 보호를 제공합니다. 여기에는 종단 간 MFA 보호는 물론 온프레미스 및 클라우드 모두에서 모든 인증에 대한 지속적인 모니터링이 포함됩니다. 자세히 알아보기 Silverfort 여기에서 지금 확인해 보세요..