กลุ่ม Night Sky Ransomware ใช้ช่องโหว่ของ Log4j เพื่อโจมตี VMware Horizon servers

กลุ่ม Night Sky เริ่มใช้ประโยชน์จากช่องโหว่ CVE-2021-44228 หรือที่เรียกว่า Log4Shell เพื่อเข้าถึงระบบ VMware Horizon

การโจมตีเริ่มขึ้นเมื่อต้นเดือนมกราคม

Night Sky Ransomware ถูกตรวจพบเมื่อปลายเดือนธันวาคม 2564 โดยทีมนักวิจัยด้านความปลอดภัยของ MalwareHunter ซึ่งกล่าวถึงกลุ่ม Night Sky Ransomware ว่ามีการมุ่งเป้าไปที่เครือข่าย Network ขององค์กรต่างๆ และมีเหยื่อหลายรายที่โดน Ransomware เรียกค่าไถ่ และพบว่ามีเหยื่อจากหนึ่งในนั้นถูกเรียกค่าไถ่เป็นจำนวน 800,000 ดอลลาร์

เมื่อวันจันทร์ที่ผ่านมา Microsoft ได้เผยแพร่คำเตือนเกี่ยวกับแคมเปญใหม่จากแฮ็กเกอร์ชาวจีนที่ถูกเรียกชื่อว่า DEV-0401 ซึ่งใช้ประโยชน์จากช่องโหว่ของ Log4Shell บนระบบ VMware Horizon เพื่อติดตั้ง Night Sky ransomware.

ทีมงาน I-SECURE ขอประมวลเหตุการณ์ช่องโหว่ ที่จัดอยู่ในระดับความรุนแรงสูงมาก พร้อมผลทดสอบการป้องกันการโจมตี ของ Log4j หรืออีกชื่อหนึ่ง Log4Shell โดยมีหมายเลขช่องโหว่เป็น CVE-2021-44228 ที่ผ่านมาตลอด 1 สัปดาห์

เมื่อวันที่ 10 ธันวาคม 2564 ได้มีการเผยแพร่รายละเอียดข้อมูลช่องโหว่ระดับความรุนแรงสูงมาก Log4j โดยทาง govinfosecurity ซึ่งเป็นบริษัทที่เชี่ยวชาญด้านการรักษาความปลอดภัยข้อมูล การจัดการความเสี่ยง ความเป็นส่วนตัว และการฉ้อโกง ISMG ของสหรัฐอเมริกา ให้ข้อมูลถึงระดับความรุนแรง ผลกระทบที่เกิดขึ้นกับแอพพลิเคชั่นจำนวนมากที่ใช้ภายในองค์กร พร้อมคำแนะนำจากสำนักงานความปลอดภัยทางไซเบอร์ของสหรัฐอเมริกา
ซึ่งสามารถดูรายละเอียดได้ที่ : https://www.

เพิ่มความสามารถในการ Detect พฤติกรรมที่น่าสงสัย ช่องโหว่ Log4shell ด้วย Custom IOA จาก CrowdStrike

จากเหตุการณ์การเกิดช่องโหว่ CVE2011-42288 Log4shell การป้องกันช่องโหว่ด้วยวีธี Update/Patch เป็นการแก้ไขปัญหาที่ดีที่สุด แต่ถ้ายังไม่สามารถทำได้ในทันทีล่ะ
.
ทางทีม MDR มีอีกวิธีที่จะมาช่วยเพิ่มความสามารถในการ Detect พฤติกรรมที่น่าสงสัยหรืออาจจะเข้าข่ายการโจมตีด้วยช่องโหว่ Log4shell ด้วยการทำเงื่อนไขการตรวจจับแบบปรับแต่งเอง หรือ Custom IOA จาก CrowdStrike (Require Falcon Insight Module)
.
โดยหากเราลองใช้สมมติฐานที่ว่า……
การโจมตีด้วยช่องโหว่ Log4shell คือการโจมตี Package Log4j ที่ทำงานบนภาษา Java หรือพูดง่ายๆ คือสามารถสั่งให้ Process Java บนเครื่องของเรา ให้ Run process หรือ คำสั่งใดๆ ก็ได้ (อาจจะด้วยการ JNDI Injection)
.
เราสามารถตั้งเงื่อนไข Custom IOA ได้ว่า ถ้า Process Java มีการเรียกใช้งานหรือไปสร้าง Child Process ต่างๆ เช่น sh , bash , dash , curl , python เป็นต้น และให้ CrowdStrike ทำการ Detect และแจ้งผู้ดูแลระบบเพื่อให้ผู้ดูแลระบบสามารถเข้าตรวจสอบพฤติกรรมดังกล่าวได้อย่างทันท่วงที
.
ซึ่งเป็นการเพิ่ม Visibility ให้แก่ผู้ดูแลระบบเพื่อรับมือการอาจจะถูกโจมตีช่องโหว่ Log4shell ได้ไม่มากก็น้อยเพื่อเป็นตัวช่วยคุณอย่างนึง ในระหว่างรอการ Update/Patch อยู่นั้นเอง
แต่หากคุณเจอ False Positive อย่าเพิ่งตกใจไปนะ เราสามารถทำการ Fine-Tune Customer IOA ของเรา โดยเพิ่ม Exclusion ให้กับ Child Process ที่เป็นการใช้งานปกติได้เพิ่มเติมภายหลังได้

ตัวอย่างการทำ Generic Custom IOA บน Linux environment

 

 

 

 

 

 

 

 

 

ตัวอย่าง Detection เมื่อพบเหตุการณ์ที่ตรงกับเงื่อนไข Custom IOA

 

 

 

 

 

 

พบ Java มีการเรียกใช้ Dash และ Curl

ทั้งนี้เพื่อให้การ Custom IOA เหมาะกับองค์กรของคุณและสามารถ Detect พฤติกรรมที่น่าสงสัยได้อย่างเต็มประสิทธิภาพ สามารถติดต่อไปยังทีมงานผู้เชี่ยวชาญของ I-SECURE กันได้นะคะ
Facebook Page : @isecure.

ตรวจสอบการโจมตี CVE-2021-44228 LOG4SHELL ในรูปแบบ Bypass WAF Signature

จากข่าวช่องโหว่ CVE2011-42288 Log4shell ทีมงาน Application Security ของทาง I-SECURE ได้มีการติดตามในส่วนของ WAF Signature เพิ่มเติม เพื่อตรวจสอบในส่วนของ Bypass WAF อยู่ 7 รูปแบบ ได้แก่
1. ${${::-j}${::-n}${::-d}${::-i}:${::-r}${::-m}${::-i}://asdasd.