如何防范 Apache Log4j2 远程代码执行漏洞
近期勒索病毒事件卷土重来,安全派联合奇安信对本次勒索病毒的分析得知:此次勒索病毒风波均为“Tellyouthepass”的勒索病毒。该勒索病毒会在被加密文件原文件后追加“.locked”的后缀,导致大量企业用户出现财务系统、OA、数据库等部分业务系统无法正常使用的情况。大多数的企业用户在面对一条条勒索信和带有后缀的加密文件时手足无措,使得企业用户因此备受困扰,今天安全派小编就为大家详细了解一下此次勒索病毒事件的起因以及解决方案。
“Tellyouthepass”勒索病毒是如何运行的?
勒索病毒产生原因及影响
根据此次勒索病毒风波的深入分析以及“Tellyouthepass”勒索病毒的特性,其背后的隐患为Apache漏洞,Apache Log4j2 是一款Java日志框架,是Log4j 的升级版。可以控制每一条日志的输出格式。通过定义每一条日志信息的级别,能够更加细致地控制日志的生成过程。由于其易用性被广泛集成于各种服务器和组件中。此漏洞详细说明如下:
-
漏洞名称: Apache Log4j2远程代码执行漏洞 -
组件名称: Apache Log4j2 -
影响范围:2.0.0 ≤ ApacheLog4j ≤ 2.15.0-rc1 -
漏洞类型: 远程代码执行 -
利用条件:
2、前置条件:默认配置
-
综合评价: <综合评定利用难度>: 容易,无需授权即可远程代码执行。 <综合评定威胁等级>:严重,能造成远程代码执行。
漏洞级别:高危
Apache Log4j2 组件存在远程代码执行漏洞的信息,并成功复现该漏洞。 漏洞编号: CNVD-2021-95914。 漏洞威胁等级: 严重。 该漏洞是由于 ApacheLog4j2 某些功能存在递归解析功能,攻击者可利用该漏洞在未授权的情况下,构造恶意数据进行远程代码执行攻击,最终获取服务器最高权限。
勒索病毒攻击事件分析
黑客会进行安装包工具执行远程下载行为,下载文件为“p.png”实为msi安装包程序;调用进程为java.exe,通过多级进程及程序所在目录观测该进程为log4j2组件调用进程;告警信息如下图所示(截图内容为ERP安全卫士产品拦截日志):
文件p.png下载完成后,系统system用户调用msiexec.exe执行p.png并释放临时文件MSI33DF.tmp,并通过MSI33DF.tmp进行目录遍历,过程如下图片所示。
在加密文件之前,“Tellyouthepass”勒索病毒会结束系统中运行的数据库相关的进程以确保勒索病毒能成功修改文件内容
防护方案
-
第一步:“下载检测工具做体检”通过log4shell的检测工具或脚本全面评估终端服务器内的所有产品是否需要更新补丁。 -
第二步: “安装补丁” ,此次漏洞利用情况主要是业务产品引起的,首先尽快通过参考链接中官网地址升级到最新版本,补丁下载网站:https://github.com/apache/logging-log4j2/releases/tags。同时联系第三方厂商更新其他第三方产品的组件补丁。 -
第三步: “调整安全设备防护策略” ,由于攻击者在攻击过程中可能使用 DNSLog 进行漏洞探测,建议企业可以通过流量监测设备监控是否有相关 DNSLog 域名的请求,封禁主机与IP74.119.194.37通信;配置网络防火墙,禁止系统主动外连网络,包括但不限于DNS、TCP/IP、ICMP。 -
第四步: “更新账号和口令” ,用户多台机器不要使用相同的账号和口令,口令要有足够的长度和复杂性,并定期更换。重要资料的共享文件夹应设置访问权限控制,并进行定期备份。
福利:已经安装部署安全派ERP安全卫士系统的企业无需担心,ERP安全卫士可以快速排查“Tellyouthepass”勒索病毒并阻断相关指令
ERP安全卫士产品特点:
强大的下一代防病毒引擎,对已知威胁防御能力强!
基于威胁行为判断风险,有效防御未知威胁!
保护用友、金蝶ERP系统,没有误拦截、误杀等情况影响系统运行!
7*24小时监控和应急响应服务,时刻保障数据安全!