Akses Awal: Upaya Penyusupan Log4j

Dokumen ini menjelaskan jenis temuan ancaman di Security Command Center. Temuan ancaman dihasilkan oleh detektor ancaman saat mendeteksi potensi ancaman di resource cloud Anda. Untuk daftar lengkap temuan ancaman yang tersedia, lihat Indeks temuan ancaman.

Ringkasan

Temuan ini dihasilkan saat pencarian Java Naming and Directory Interface (JNDI) dideteksi dalam parameter header atau URL. Pencarian ini mungkin menunjukkan upaya eksploitasi Log4Shell.

Event Threat Detection adalah sumber temuan ini.

Cara merespons

Untuk merespons temuan ini, lakukan hal berikut:

Langkah 1: Tinjau detail temuan

  1. Buka temuan Initial Access: Log4j Compromise Attempt, seperti yang diarahkan dalam Meninjau detail temuan. Panel detail untuk temuan akan terbuka di tab Summary.

  2. Di tab Summary, tinjau informasi di bagian berikut:

    • What was detected
    • Resource yang terpengaruh
    • Link terkait, terutama kolom berikut:
      • Cloud Logging URI: link ke entri Logging.
      • Metode MITRE ATT&CK: link ke dokumentasi MITRE ATT&CK.
      • Temuan terkait: link ke temuan terkait.
    • Di tampilan detail temuan, klik tab JSON.

    • Dalam JSON, perhatikan kolom berikut.

    • properties

      • loadBalancerName: nama load balancer yang menerima pencarian JNDI
      • requestUrl: URL permintaan permintaan HTTP. Jika ada, URL ini berisi pencarian JNDI.
      • requestUserAgent: agen pengguna yang mengirim permintaan HTTP. Jika ada, agen pengguna ini berisi pencarian JNDI.
      • refererUrl: URL halaman yang mengirim permintaan HTTP. Jika ada, URL ini berisi pencarian JNDI.

Langkah 2: Periksa log

  1. Di Google Cloud konsol, buka Logs Explorer dengan mengklik link di kolom Cloud Logging URI dari langkah 1.

  2. Di halaman yang dimuat, periksa kolom httpRequest untuk token string seperti ${jndi:ldap:// yang mungkin menunjukkan kemungkinan upaya eksploitasi.

    Lihat CVE-2021-44228: Mendeteksi eksploitasi Log4Shell dalam dokumentasi Logging untuk contoh string yang akan ditelusuri dan untuk contoh kueri.

Langkah 3: Teliti metode serangan dan respons

  1. Tinjau entri framework MITRE ATT&CK untuk jenis temuan ini: Exploit Public-Facing Application.
  2. Tinjau temuan terkait dengan mengklik link di Temuan terkait pada baris Temuan terkait di tab Ringkasan detail temuan. Temuan terkait adalah jenis temuan yang sama dan the instance serta jaringan yang sama.
  3. Untuk mengembangkan rencana respons, gabungkan hasil penyelidikan Anda dengan riset MITRE.

Langkah 4: Terapkan respons Anda

Rencana respons berikut mungkin sesuai untuk temuan ini, tetapi juga dapat memengaruhi operasi. Evaluasi dengan cermat informasi yang Anda kumpulkan dalam penyelidikan untuk menentukan cara terbaik dalam menyelesaikan temuan.

Contoh JSON temuan

Berikut adalah contoh JSON temuan.

{
  "finding": {
    "name": "organizations/ORGANIZATION_ID/sources/SOURCE_ID/findings/FINDING_ID",
    "parent": "organizations/ORGANIZATION_ID/sources/SOURCE_ID",
    "resourceName": "//cloudresourcemanager.googleapis.com/projects/PROJECT_NUMBER",
    "state": "ACTIVE",
    "category": "Initial Access: Log4j Compromise Attempt",
    "sourceProperties": {
      "sourceId": {
        "projectNumber": "PROJECT_NUMBER",
        "customerOrganizationNumber": "ORGANIZATION_ID"
      },
      "detectionCategory": {
        "ruleName": "log4j_compromise_attempt"
      },
      "detectionPriority": "LOW",
      "affectedResources": [{
        "gcpResourceName": "//cloudresourcemanager.googleapis.com/projects/PROJECT_NUMBER"
      }],
      "evidence": [{
        "sourceLogId": {
          "projectId": "PROJECT_ID",
          "resourceContainer": "projects/PROJECT_ID",
          "timestamp": {
            "seconds": "1639690492",
            "nanos": 9.13836E8
          },
          "insertId": "INSERT_ID"
        }
      }],
      "properties": {
        "loadBalancerName": "LOAD_BALANCER_NAME",
        "requestUrl": "REQUEST_URL?${jndi:ldap://google.com}"
      },
      "findingId": "FINDING_ID",
      "contextUris": {
        "mitreUri": {
          "displayName": "MITRE Link",
          "url": "https://attack.mitre.org/techniques/T1190/"
        },
        "cloudLoggingQueryUri": [{
          "displayName": "Cloud Logging Query Link",
          "url": "https://console.cloud.google.com/logs/query;query\u003dtimestamp%3D%222021-12-16T21:34:52.913836Z%22%0AinsertId%3D%22INSERT_ID%22%0Aresource.labels.project_id%3D%22PROJECT_ID%22?project\u003dPROJECT_ID"
        }],
        "relatedFindingUri": {
        }
      }
    },
    "securityMarks": {
      "name": "organizations/ORGANIZATION_ID/sources/SOURCE_ID/findings/FINDING_ID/securityMarks"
    },
    "eventTime": "2021-12-16T21:34:52.913Z",
    "createTime": "2021-12-16T21:34:55.022Z",
    "severity": "LOW",
    "workflowState": "NEW",
    "canonicalName": "projects/PROJECT_NUMBER/sources/SOURCE_ID/findings/FINDING_ID",
    "mute": "UNDEFINED",
    "findingClass": "THREAT"
  },
  "resource": {
    "name": "//cloudresourcemanager.googleapis.com/projects/PROJECT_NUMBER",
    "projectName": "//cloudresourcemanager.googleapis.com/projects/PROJECT_NUMBER",
    "projectDisplayName": "PROJECT_ID",
    "parentName": "//cloudresourcemanager.googleapis.com/folders/FOLDER_NUMBER",
    "parentDisplayName": "FOLDER_DISPLAY_NAME",
    "type": "google.cloud.resourcemanager.Project",
    "folders": [{
      "resourceFolder": "//cloudresourcemanager.googleapis.com/folders/FOLDER_NUMBER",
      "resourceFolderDisplayName": "FOLDER_DISPLAY_NAME"
    }],
    "displayName": "PROJECT_ID"
  }
}

Langkah berikutnya