Log4j、そして知りすぎたメモリー

Trellix 提供· 2022 年 1 月 19 日

Guilherme Venere、Ismael Valenzuela、Carlos Diaz、Cesar Vargas、Leandro Costantino、Juan Olle、Jose Luis Sanchez Martinez、AC3 チーム著

執筆協力者: Steve Povolny、Douglas McKee、Mark Bereza、Frederick House、Dileep Kumar Jallepalli

サイバー セキュリティ業界に安穏の時はありません。今こそ、この考え方を、ビジネスの活性化につながる利点として、また推進剤として念頭に置くべきです。

今、世界中の専門家が最新の脅威と闘っています。そうした脅威に企業各社が直面しており、どんな業種も無関係ではいられません。Java ベースのロギング プラットフォーム Apache Log4j に存在する Log4Shell という脆弱性に対しては、分析とパッチの適用が進んでいますが、これには至極当然の理由があります。Log4j は、一番かどうかはともかく、開発者の間で特に人気の高いロギング アプリケーションだということです。しかし、企業はパッチを当てる以上の対処も考えなければなりません。Log4Shell の問題によって、攻撃対象の考え方が変わりつつあるからです。

大規模な被害が発生して、この脆弱性が拡散する可能性は高いので、次の重大な欠陥に備えて計画と対策の改善を図るためには、今のうちからその影響を真剣に受け止める必要があります。

パッチの適用はもちろん不可欠ですが、インフラストラクチャのセキュリティを確保するには、静的な、あるいは一度限りの修正では足りません。かわりに、広範な監視、評価、スキャン、証拠調査を組み合わせた常時オンのアプローチを導入し、次々と新しくなる今日の脅威に備えるうえで必要なアジリティを発揮する必要があります。

今回の記事では特に、パフォーマンスの高いメモリー スキャン機能を備えたエンドポイント ソリューションが、アクティブなエクスプロイト シナリオを効果的に検出し、企業のネットワーク セキュリティ機能を補完することで、組織に新たな復元力をもたらす、その威力について説明します。

背景

セキュリティ業界では広く知られているとおり、2021 年のホリデー シーズンにちょうど間に合うタイミングで、普及率の高いライブラリに影響する新たな脆弱性が発表されました。CVE-2021-44228 は、Log4j Java ライブラリの脆弱性を報告したもので、同ライブラリを使用してロギングを実行しているアプリケーションや Web サイトに影響を与えます。

この脆弱性を突くと、攻撃者は脆弱なサイトやアプリケーションを強制的に誘導して、信頼されていないリモートから悪意のある Java コードを読み込ませ、実行させることができます。攻撃方法はさまざまですが、攻撃者が細工した文字列をネットワーク プロトコルの一部としてターゲット マシンに送信するという手法が最も一般的です。たとえば、POST リクエストの一部として、書き換えた HTTP ヘッダーを送信するといった手口があります。

そのため、防御に当たる側は、ネットワーク トラフィックを通じて悪意のある文字列を検出することに力を注いでおり、成果を上げるには積極的な対策が重要であることを認識しています。しかし、ネットワーク署名はバイパスすることが可能であり、攻撃者がネットワーク スキャンをすり抜けようと、さまざまな手段で難読化したうえでネットワーク攻撃をしかけていることも報告されています。次の画像を見ると、この攻撃に関連して確認または報告されている最新の難読化テクニックがおわかりになるかと思います。

出典: https://github.com/mcb2Eexe/Log4j2-Obfucation

だからといって、ネットワーク保護ソリューションがこの攻撃に対して無力だということではありません。それどころか、Log4j の事例は、防御側が攻撃側と同様に適応力を持ち、よりダイナミックなアプローチと考え方をとり入れて、生きたセキュリティの新時代に入ることがいかに重要かという点を実証しています。ネットワーク セキュリティ プラットフォームは、あくまでも最初の防御層となるものであり、保護、検出、可視化、応答という追加の層によって強化された、組み込み型のセキュリティ アーキテクチャ (セキュリティ リスク対策戦略) の一部として使われるべきものです。

最新のエンドポイント ソリューションは、メモリー内スキャンや迅速なレスポンス オーケストレーションなどのシステム プロセスをホスト ベースで詳細に可視化することによって、ネットワーク ベースの機能を補完する独特な立場にあります。この組み合わせによって、Log4Shell のような脅威に対する盤石の防御が実現し、企業はエンドツーエンドのセキュリティによって信頼を取り戻すことができます。

「見えてるぞ」: メモリー スキャン

メモリー スキャンは、難読化の層を突破して接続がエンドポイントに到達するときに、ネットワーク セキュリティプラット フォームの価値を高め、それを支援します。次の図は、Web ベースの一般的な Log4j 攻撃の実行フローを示したものです。

このフローがどのように進むか、その概要を以下に示します。

• ステップ #1: 攻撃者が、特別に細工した文字列を、脆弱なアプリケーションをホストしている Web サーバーに送信します。この文字列は、ネットワークベースの署名を回避するために難読化されている場合があります。
• ステップ #2: アプリケーションがこの文字列の難読化を解除してメモリーに読み込みます。メモリーにロードされたアプリケーションが LDAP 接続を開始し、悪意のあるクラス ファイルの所在を示すアドレスをリクエストします。
• ステップ #3: 攻撃者の制御下にある LDAP サーバーが応答し、悪意のあるクラス ファイルの置かれている HTTP URL アドレスを示すことで、そのクラス ファイルの場所を返します。
• ステップ #4: 脆弱なアプリケーションが、悪意のあるクラス ファイルのダウンロードの開始を続行します。
• ステップ #5: 脆弱なアプリケーションが、ステップ #4 でダウンロードした悪意のあるクラス ファイルを読み込んで実行します。この時点で、攻撃者はターゲット上でコード実行を達成しますが、防御側がこの活動を可視化できるような痕跡も残します。たとえば、エクスプロイト後に、追加のプロセスを起動していたり、ファイルやレジストリ キーに触れていたりしたことがこれに該当します。

もし、こうした難読化の戦術を出し抜くことができたとしたら、どうでしょうか。Log4j のような脅威に先手を打つことは間違いなく可能ですし、そうすべきです。実行フローのどこかの時点でメモリー スキャンをトリガーし、悪意のあるコード ファイルの存在を検出できれば、それが実現します。そうすれば、難読化を解除された文字列の使用を、プロセス メモリー内に高い確率で見つけることができます。また、悪意のあるクラス ファイルがダウンロードされた後でメモリー スキャンが行われた場合は、その内容も難読化を解除した形でスキャンすることが可能です。

このような可能性があり、またメモリー スキャンを開始するトリガーによって検出のタイミングも変わるため、メモリー署名の性能と効率が向上します。

エンドポイント セキュリティのエキスパート ルールがメモリー スキャンに対応

当社のソリューションには、エキスパート ルールからメモリー スキャンをトリガーする機能が用意されています。

エキスパート ルールとは、カスタマイズ可能なアクセス制御ルールのことで、エンド ユーザーが、他のスキャナーでは通常確認できない不審なアクティビティを検出することができます。また、MITRE ATT&CK マトリックスに対応するコミュニティ エキスパート ルールが GitHub で公開されています。

こうした機能を使って Log4j の脆弱性を持つアプリケーションを対象にすれば、そのアプリケーションのエクスプロイトの瞬間を特定することができます。次のようなルールを考えてみましょう。

ここには、ACTORS (Process {…} の内部) と TARGETS (Target {…} の内部) を定義するセクションがあります。ACTORS は、Log4j エクスプロイトに対して脆弱性を持つ可能性がある任意のプロセスです。このケースでは、スタンドアロンの Java アプリケーション用である JAVA.EXE と、Apache の Web ベース アプリケーション用である TOMCAT?.EXE があります。これらのプロセスのいずれかが、Java ランタイムがアクティブであることを確認するために、JAVA.DLL と JVM.DLL の両方をロードする必要があります。

TARGET セクションには、攻撃からの潜在的なペイロードが含まれます。エキスパート ルールは、ネットワーク トラフィックに焦点を当てないので、実行フローの最後のステップに着目する必要があります。ペイロードが実行される部分です。アクセスされたファイルやレジストリ キーなどのトリガーは、エクスプロイトに関する情報の増加に合わせて追加することができます。また、上の例のように、コマンドライン パラメーターとして Exclude を使用すれば、有効な動作を任意に除外することもできます。こうした除外は、現在の環境に合わせて設定できるため、誤検知を防ぎ、脅威に対抗する際の効率が上がります。

このエキスパート ルールは、いずれかの ACTOR プロセスがいずれかの TARGET ペイロードを生成するときにトリガーされます。ちょっとした違いが、結果や誤検知にどのように影響するかに注意することが重要です。ルールの冒頭にあるこの行を見てみましょう。

この命令は、エキスパート ルールのトリガーとなる ACTOR プロセスに対してメモリー スキャンを開始します。これで、パフォーマンスの高いメモリー スキャンの確実なトリガーとなり、確率の低いメモリー スキャンから生じうるパフォーマンスの問題を回避できます。さらに、このスキャンは最初にエクスプロイトが試みられるときに非常に近いタイミングで実行されるため、難読化を解除された文字列がメモリー内に存在することも保証されます。

次に、AV DAT エンジンによって実行されるエキスパート ルールをトリガーするプロセスのメモリーをスキャンします。この文字列が検出されると、影響を受けたプロセスで検出が実行され、Expert Rule REACTION 行で設定したアクションが適用されます。最初のうち、監視すべきプロセスを整理するまでは、REPORT アクションを使用することをお勧めします。

上の図で強調表示されている最初のイベントは、JAVA.EXE から生成された不審なプロセスに対するエキスパート ルールのトリガーであり、2 番目のイベントは、そのプロセスのメモリーにエクスプロイトの署名が存在することを示す AV DAT の検出結果です。

注:

エキスパート ルールのみが検出され、Java Naming and Directory Interface (JNDI) /Log4j-Exploit イベントが検出されなかった場合、それはプログラムが不審な子プロセスを実行したという証拠になるので、イベントを確認し、それに応じてエキスパート ルールを改善するようお勧めします。

ただし、同じプログラムに対して Expert Rule と JNDI/Log4j-Exploit イベントの両方が発生した場合、悪用されているプロセスの存在は高い確度で検出されています。

Log4j 脆弱性に対する当社の最新の対応状況については、「KB95901 - Apache Log4j CVE-2021-44228 のリモートコード実行への対応」で詳しく説明しています。この記事には、エキスパート ルールと、追加された最新の EXTRA.DAT をダウンロードするリンクもおり、現在の環境でそれらを使用する際の ePO の設定方法について詳細も記載されています。

このソリューションを導入する場合は、KB および関連文書に記載されている手順を必ず確認するようにしてください。エキスパート ルールを確認し、お客様の環境に合わせてカスタマイズすることを強くお勧めします。そうすれば、アクティブなリスクを阻止する、あるいはそれに対応するだけでなく、進化を続ける脅威を防ぐためにダイナミックに適応することができます。

まとめ

Log4j のような攻撃から環境を保護するには、ネットワーク セキュリティと、ターゲットを絞ったエンドポイント メモリー スキャンで構成される多層型の組み込み戦略が必要です。そうして初めて、防御側はネットワークの経路を介して露呈する脆弱なシステムに対する攻撃の実行フローを効果的に検出し、防止することができます。当社の ENS エキスパート ルールとカスタム スキャンによる対応は、こうした機能を実現するために設計されており、そのような新たな脅威に対して的確な対策を講じ、ビジネスを維持・成長させるための優位性と自信を獲得することができます。