Дисклеймер: В статье частично используются материалы отчета Malicious Cyber Actors Continue to Exploit Log4Shell in VMware Horizon Systems.

Одним из самых резонансных событий конца 2021 года по направлению кибербезопасности стало обнаружение критической уязвимости нулевого дня Log4Shell (CVE-2021-44228), получившей максимальный уровень угрозы — 10 баллов из 10 возможных, что бывает крайне редко. В пиковые дни по данным различных отчетов количество атак с ее использованием достигало десятков тысяч в час во всем мире.

Кратко напомним, что данная уязвимость связана с библиотекой Log4j – инструментом, который используется практически в каждом приложении Java. Log4Shell позволяет получить удаленный доступ и контроль над серверами и веб-приложениями, давая злоумышленнику возможность импортировать в них вредоносное программное обеспечение. Причем для этого хакерам даже не нужно обладать высокой квалификацией. При эксплуатации уязвимости вектор атаки направлен на Public-Facing Application [T1190] и External Remote Services  [T1133]. Выгода для злоумышленников может быть разной, но в большинстве случаев их основная цель – внедрение бэкдоров на серверы с целью дальнейшего заражения вредоносным ПО для кражи данных.

Подробное описание техник и тактик атак, в которых эксплуатировалась Log4shell можно прочитать здесь.

Уязвимость удаленного выполнения кода затронула программные продукты множества компаний-разработчиков. Их список приводится на сайте GitHub и регулярно обновляется. И, как следствие, организации, исполь­зовавшие любой из таких про­дук­тов, также стали подвержены данной угрозе.

С момента обнаружения Log4Shell уже выпущены три обновления библиотеки Log4j, большинство разработчиков обновили свои решения до безопасных версий и уязвимость была устранена. Но некоторые продукты, при создании которых использовались уязвимые модули, по-прежнему остались подвержены вредоносному ПО. Среди них решения компании VMware. Несмотря на наличие доступных патчей, серверы  VMware Horizon Systems и Unified Access Gateway (UAG) и по сей день атакуются хакерами с целью получения первоначального доступа к организациям, которые до сих пор не применили доступные исправления.

Совсем недавно о всплесках атак с использованием Log4Shell ИБ-специалистов еще раз предупредили Агентство по кибербезопасности и безопасности инфраструктуры США (CISA) и Киберкомандование США (CGCYBER), выпустив совместный бюллетень безопасности. В частности, в нем говорится, что различные APT-группировки продолжают использовать Log4Shell (CVE-2021-44228) на серверах VMware Horizon и Unified Access Gateway (UAG). Эксперты посоветовали организациям, которые еще не применили обновления VMware для Log4Shell считать себя уже скомпрометированными и начать поиск угроз.  CISA и CGCYBER также подготовили отчеты, содержащие индикаторы компрометации (IoCs), на основании которых, можно сделать вывод о наличии скомпрометированной инфраструктуры в организации.

Ссылки на копии индикаторов компрометации (IOCs):

• MAR-10382580-1

• MAR-10382254-1

Напомним, процесс поиска индикаторов компрометации в инфраструктуре может осуществляться вручную, что обычно приводит к большим ресурсным и временным затратам, или может быть выстроен с применением специальных платформ Thread Intelligence Platform (TIP), которые позволяют получать актуальную информацию об индикаторах компрометации из надежных источников, а также автоматизировать процесс обнаружения, и, как следствие, ускорить реагирование на возникшую угрозу.  Подробнее о Thread Intelligence вы можете узнать из другой статьи нашего блога.

Ниже CISA и CGCYBER приводят ​​несколько недавних примеров успешной эксплуатации уязвимости Log4Shell для получения доступа к серверам двух организаций.

Организация 1

С апреля по май 2022 в Организации1 CISA обнаружили двусторонний трафик в связке с уже известным вредоносным IP адресом 104[.]223[.]34[.]198. В ходе расследования выяснилось, что Организация1 была скомпрометирована сразу несколькими злоумышленниками. Предположительно это произошло в период с конца января по май 2022. После проникновения злоумышленники использовали скрипты на PowerShell для связи с сервером по протоколу HTTP.  Кроме того, хакеры предприняли попытку загрузки вредоносного исполняемого файла и его запуска с сервера 104[.]155 [.]149[.]103, который являлся частью С2 инфраструктуры. Получив доступ, злоумышленники производили горизонтальное перемещение по инфраструктуре используя протокол удаленного рабочего стола RDP (Remote Desktop Protocol). Таким образом, хакеры добрались до сервера сертификации, сервера управления безопасностью, сервера с базой данных, в которой содержались критичные данные, и почтового сервера, а также получили доступ к сети аварийного восстановления инфраструктуры. Кроме того, злоумышленники завладели данными аккаунтов администраторов. Как это было сделано – не известно. После чего они произвели загрузку вредоносного ПО и запустили исполняемый файл с правами администратора. Тем самым получив возможность загружать дополнительные вредоносны, проводить мониторинг рабочего стола, осуществлять reverse shell, т.е взаимодействие с удалённым компьютером, и exfiltrate data (несанкционированная передача/кража данных с компьютера). Данный исполняемый файл мог также выполнять роль прокси сервера.

В ходе расследования CISA были обнаружены следующие загрузчики вредоносного ПО:

SvcEdge.exe — вредоносное загруженное ПО для Windows, содержащий зашифрованный исполняемый f7_dump_64.exe, который расшифровывался после исполнения SvcEdge.exe и загружался в память, а также производил соединение с С2 сервером 134.119.177[.]107.

odbccads.exe, praiser.exe, fontdrvhosts.exe и winds.exe — зашифрованные вредоносные файлы, после исполнения- злоумышленники предпринимали попытку связи с С2 сервером 134.119.177[.]107, 162.245.190[.]203, 155.94.211[.]207 и 185.136.163[.]104.

error_401.jsp — webshell, разработанный для парсинга данных и передачи команд через http запросы. Предоставляет удаленное управление через уже скомпрометированные сервера Linux & Windows, загрузку и выгрузку вредоносных файлов. Все данные зашифровывались через RC4.

newdev.dll — вредоносная библиотека, которая запускалась как служба в профиле пользователя. Путь, где располагалась библиотека %user%\AppData\Roaming\newdev.dll. К сожалению, CISA не удалось восстановить файл для подробного анализа. В общей сложности злоумышленникам удалось похитить более 130ГБ правительственных данных.

Организация 2

Организация 2 также была скомпрометирована через эксплуатацию
уязвимости Log4Shell в VMware Horizon.  Получив доступ к инфраструктуре,
злоумышленники выгрузили файл hmsvc.exe на скомпрометированную систему. Далее
была попытка установить соединение с сервером 104.223.34[.]198.

CISA и CGCYBER проанализировали исполняемый файл, который маскировался под
легитимную службу Microsoft Windows (Sysinternals Loging Sessions software) [T1036.004]: файл
был запущен с наивысшими правами NT AUTHORITY\SYSTEM. hmsvc.exe и загружал
дополнительный вредоносный 658_dump_64.exe, предоставляющий злоумышленникам
целый ряд возможностей, включая запись нажатых клавиш  [T1056.001],
загрузку дополнительных исполняемых файлов и графический интерфейс для
мониторинга деятельности жертв.

Технически это выглядело так: вначале исполнялся hmsvc.exe, который создавал
задачу в Sheduler: C:\Windwos\System32\Tasks\Local Session Updater. Используя данную
задачу, осуществлялся запуск вредоносного ПО каждый час, после чего создавались
два файла с расширением *.tmp и рандомным именем в директории %user%\AppData\Local\Temp и производилась попытка связи с С2 сервером 192.95.20[.]8, используя
нестандартный порт 4443. Весь трафик был зашифрован 128-битным ключом.

Дополнительные сведения об этих образцах вредоносных программ, можно найти в документе MAR-10382254-1.

В опубликованном бюллетене безопасности CISA и CGCYBER также представили рекомендации, которые необходимо предпринять в случае обнаружения компрометации хоста или группы хостов:

• Незамедлительно изолировать контур, в котором произошло обнаружение;

• Произвести сбор и анализ артефактов: дамп оперативной памяти (файла подкачки, файла гибернации), журналы событий, prefetch и другие.

В целом, для минимизации риска несанкционированного доступа к вашим системам, используя уязвимость Log4shell, эксперты советуют по возможности обновлять или устанавливать только обновленные до последних версий системы VMware Horizon и UAG.

Добавим, что установка обновлений — это одна из самых важных вещей, которые вы можете сделать, чтобы защитить себя от этой угрозы и множества других. Но если по каким-то причинам у вас нет возможности обновить все соответствующие системы, рекомендуем несколько превентивных действий, которые позволят снизить вероятность атаки с использованием Log4shell. Для этого необходимо:

• Соблюдать правила кибергигиены: не хранить конфиденциальные данные на устройствах, доступных в интернете, использовать современные решения для защиты от вредоносных программ, применять надежные пароли, включить мультифакторную аутентификацию и ограничить доступ пользователей по принципу наименьших привилегий);

• Поддерживать все программное обеспечение в актуальном состоянии, своевременно реагировать на публикуемую информацию об обнаруженных уязвимостях и в приоритетном порядке устранять их;

• Минимизировать поверхность атаки через Интернет за счет размещения основных служб в отдельной демилитаризованной зоне;

• Обеспечить строгий контроль доступа к периметру сети, отказавшись от размещения служб с выходом в Интернет, которые не являются необходимыми для бизнес-операций;

• Выстроить «Zero Trust» архитектуру.

Спасибо за внимание! Надеюсь эта статья будет полезной и описанная выше проблема обойдет вашу организацию стороной. Если у вас есть, что добавить – пишите, будет очень интересно почитать! :-)

Автор: Антон Кузнецов, ведущий инженер информационной безопасности R-Vision