OzzTech - Log4Shell Güvenlik Açığı

Log4Shell Güvenlik Açığı

log4shell

Tehdit aktörleri ve araştırmacılar, kötü amaçlı yazılım dağıtmak veya savunmasız sunucuları bulmak için Apache log4shell güvenlik açığını tarıyor ve kullanıyor.

Cuma sabahı erken saatlerde, Apache log4j Java tabanlı günlük kaydı platformunda 'Log4Shell' olarak adlandırılan kritik bir sıfırıncı gün güvenlik açığı herkese açık olarak yayınlandı. Bu güvenlik açığı, saldırganların yalnızca arama yaparak veya tarayıcılarının kullanıcı aracısını özel bir diziyle değiştirerek güvenlik açığı bulunan bir sunucuda uzaktan komut yürütmesine olanak tanımaktadır.

Kısa bir süre sonra Apache, güvenlik açığını gidermek için Log4j 2.15.0'ı yayınladı. Ancak tehdit aktörleri verileri sızdırmak, kötü amaçlı yazılım yüklemek veya sunucuyu ele geçirmek için savunmasız sunucuları taramaya ve kullanmaya başladı bile.

Bu yazılım binlerce kurumsal uygulamada ve web sitesinde kullanıldığından, yaygın saldırılara ve kötü amaçlı yazılım dağıtımına yol açacağı konusunda önemli endişeler var.

Kötü Amaçlı Yazılım Yüklemek İçin Kullanılan Log4Shell

Kolayca yararlanılabilen bir uzaktan kod yürütme güvenlik açığı ifşa edildiğinde, bunu ilk kullanmaya başlayanlar genellikle kötü amaçlı yazılım dağıtıcıları olur.

Web sunucusu erişim günlüklerinden, GreyNoise verilerinden ve araştırmacıların raporlarından Log4j'den yararlanan bilinen kötü amaçlı yazılım yüklerini sizler için inceledik;

Kripto Madencileri

Güvenlik açığı yayınlanır yayınlanmaz, aşağıda gösterildiği gibi çeşitli kripto madencilerini ve yükleyen kabuk komut dosyalarını yürütmek için Log4Shell güvenlik açığından yararlanan tehdit aktörlerini gördük.

Kinsing arka kapısının ve kripto madenciliği botnetinin arkasındaki tehdit aktörleri, savunmasız sunucu indirme ve kabuk komut dosyalarını çalıştıran Base64 kodlu yüklere Log4j güvenlik açığını yoğun bir şekilde kötüye kullandığını gördük.

Ayrıca kripto madenciliği hakkında ki saldırılar dikkatinizi çektiyse sizi ilgili makalemize bekliyoruz: https://www.ozztech.net/siber-guvenlik/bitlocker-son-donemin-kripto-saldirisi/

log4shell
Kinsing Log4Shell istismar ve kodu çözülmüş komutlar

Bu kabuk betiği, rakip kötü amaçlı yazılımları savunmasız cihazdan kaldıracak ve ardından kripto para birimi için madenciliğe başlayacak olan Kinsing kötü amaçlı yazılımını indirip yükleyecektir.

log4shell
Kinsing yükleyici komut dosyası

Kripto madenciliği kurmak için görülen diğer Log4Shell istismarı aşağıdaki resimde görülebilir.

Diğer kötü niyetli kripto madenciliği yükleyicileri

Mirai Ve Muhstik Botnet'leri

Netlab 360, tehdit aktörlerinin Mirai ve Muhstik kötü amaçlı yazılımlarını savunmasız cihazlara yüklemek için güvenlik açığından yararlandığını bildiriyor.

Bu kötü amaçlı yazılım aileleri, IoT cihazlarını ve sunucularını botnetlerine alır ve bunları kripto madencileri dağıtmak ve büyük ölçekli DDos saldırıları gerçekleştirmek için kullanır.

Netlab 360 araştırmacıları açıklamalarında "Bu sabah ilk yanıtları aldık, Anglerfish ve Apacket balküplerimiz botnet oluşturmak için Log4j güvenlik açığını kullanan 2 saldırı dalgası yakaladı ve hızlı bir örnek analizi, bunların her ikisi de Linux cihazlarını hedefleyen Muhstik ve Mirai botnet'lerini oluşturmak için kullanıldığını gösterdi." dedi.

Cobalt Strike İşaretleri

Microsoft Tehdit İstihbarat Merkezi, Log4j güvenlik açıklarının da Cobalt Strike işaretlerini düşürmek için istismar edildiğini bildirdi.

Cobalt Strike, kırmızı ekiplerin uzak ağ gözetimi gerçekleştirmek veya başka komutlar yürütmek için "güvenliği ihlal edilmiş" cihazlara aracılar veya işaretçiler yerleştirdiği meşru bir sızma testi araç takımıdır.

Bununla birlikte, tehdit aktörleri, ağ ihlallerinin bir parçası olarak ve fidye yazılımı saldırıları sırasında yaygın olarak Cobalt Strike'ın kırık sürümlerini kullanmaktadır.

Tarama Ve Bilgi İfşası

Kötü amaçlı yazılım yüklemek için Log4Shell istismarlarını kullanmanın yanı sıra, tehdit aktörleri ve güvenlik araştırmacıları, savunmasız sunucuları taramak ve onlardan bilgi sızdırmak için istismarı kullanıyor.

Araştırmacılar, güvenlik açığı bulunan sunucuları URL'lere erişmeye veya geri arama etki alanları için DNS istekleri gerçekleştirmeye zorlamak için bu açığı kullanmaktadır. Bu, araştırmacıların veya tehdit aktörlerinin sunucunun savunmasız olup olmadığını belirlemesine ve onu gelecekteki saldırılar, araştırmalar veya bir hata ödülü talep etme girişimleri için kullanmasına olanak tanımaktadır.

Bazı araştırmacılar, ana bilgisayar adı Log4j hizmetinin altında çalıştığı kullanıcı adı, işletim sistemi adı ve işletim sistemi sürüm numarası da dahil olmak üzere sunucu verilerini içeren ortam değişkenlerini izinsiz olarak sızdırmak için istismarı kullanarak çok ileri bir adım atıyor olabilir.

Araştırmacılar ve tehdit aktörleri, savunmasız sunucuları tarıyor

Taramanın bir parçası olarak kullanılan en yaygın alan adları veya IP adresleri/veya veri hırsızlığı kampanyaları şunlardır:

interactsh.com
burpcollaborator.net
dnslog.cn
bin${upper:a}ryedge.io
leakix.net
bingsearchlib.com
205.185.115.217:47324
bingsearchlib.com:39356
canarytokens.com

Özellikle ilgi çekici olan, Log4j istismarları için yoğun bir şekilde geri arama olarak kullanılan bingsearchlib.com etki alanıdır. Ancak bir güvenlik araştırmacısı, etki alanı bir istismar geri çağrısı olarak kullanılırken, bingsearchlib.com'un kayıtlı olmadığını söyledi.

Güvenlik araştırmacısı, tehdit aktörlerinin kötüye kullanmasını önlemek için etki alanını kaydettiklerini, ancak istekleri günlüğe kaydetmediklerini söyledi.

Tehdit istihbaratı şirketi GreyNoise, bingsearchlib.com geri aramasını kullanan IP adreslerinin de yaygın olarak 205.185.115.217:47324 Log4Shell geri aramasını kullandığını gösteriyor.

Bilinmeyen saldırılar için, açıklardan yararlanmaya çalışan psc4fuel.com adlı bir alan adından tekrarlanan istekler gördü. Bu alan adı, bir petrol hizmetleri şirketine ait yasal psc4fuel.com alan adını taklit ediyor gibi görünüyor.

psc4fuel.com etki alanı, istismarın yürüteceği Java sınıflarını zorlamak için kullanılır. Ancak Log4j güvenlik açığından yararlanan bir araştırmacı mı yoksa tehdit aktörü mü olduğunu görmek için bu sınıfların bir örneğini alamadı.

Log4j saldırılarında kullanılan psc4fuel.com etki alanı

Fidye yazılımı çetelerinin veya diğer tehdit aktörlerinin Log4j istismarını kullandığını gösteren herhangi bir kamu araştırması olmamasına rağmen, Cobalt Strike işaretlerinin konuşlandırılmış olması, bu saldırıların yakın olduğu anlamına geliyor.

Bu nedenle, bu güvenlik açığını en kısa sürede gidermek için tüm kullanıcıların Log4j'nin en son sürümünü veya etkilenen uygulamaları yüklemesi zorunludur.

Bunun gibi olaylar, birçok yazılıma dahil olan paketlerde ortaya çıkarıldığında tek bir kusurun nasıl dalgalanma etkileri olabileceğini, daha sonraki saldırılar için bir kanal görevi görebileceğini ve etkilenen sistemler için kritik bir risk oluşturduğunu gösteriyor. Huntress Labs Kıdemli Güvenlik Araştırmacısı John Hammond, "Tüm tehdit aktörlerinin bir saldırıyı tetiklemesi gereken bir metin satırıdır." Dedi. "Bu güvenlik açığı için belirgin bir hedef yok bilgisayar korsanları ortalığı karıştırmak için püskürt ve dua et yaklaşımı benimsiyor."

İkinci Log4Shell Güvenlik açığı ortaya çıktı, incelemek için https://www.ozztech.net/siber-guvenlik/ikinci-log4shell-guvenlik-acigi/ adresini ziyaret edebilirsiniz.


İlginizi Çekebilecek Makaleler
FortiWeb Kurulumu 4- Admin Şifresi Değiştirme
Siber Güvenlik

FortiWeb Kurulumu 4- Admin Şifresi Değiştirme

Ocak 23, 2022 10:21

FortiWeb kurulumunu anlattığımız serinin dördüncü yazısında Admin şifresi nasıl değiştirceğinizi, saat ve günü nasıl...

Metasploittable 2
Siber Güvenlik

Metasploittable 2

Ocak 22, 2022 11:57

Metasploittable 2 Nedir? Neden Kullanılır? Nasıl Kurulur? Metasploittable 2 Metasploit firması tarafından bizlerin güvenli...

FortiWeb Kurulumu 3- Firmware Güncellenmesi
Siber Güvenlik

FortiWeb Kurulumu 3- Firmware Güncellenmesi

Ocak 22, 2022 11:56

FortiWeb kurulumunu anlattığımız serinin üçüncü yazısında Firmware güncellemesini anlatacağız. FortiWeb cihazınız gönderildiğinde en son...

FortiWeb Kurulumu 2- Web UI ve CLI Bağlama
Siber Güvenlik

FortiWeb Kurulumu 2- Web UI ve CLI Bağlama

Ocak 21, 2022 7:50

FortiWeb kurulumu yazımızın ikinci serisinde Web UI veya CLI bağlamanın nasıl yapılacağını anlatacağız. Eğer...

Yapay Zeka Nedir?
Yazılım Geliştirme

Yapay Zeka Nedir?

Ocak 20, 2022 10:57

Sürekli olarak değişen, gelişen ve oldukça hızlı bir şekilde boyut atlayan, günümüze kadar gelen...

Trellix Adıyla 2 Dev şirket McAfee ve FireEye
Siber Güvenlik

Trellix Adıyla 2 Dev şirket McAfee ve FireEye

Ocak 20, 2022 10:56

Yeni birleştirilen güvenlik ekipleri McAfee ve FireEye yeni bir isim açıkladı: “Trellix”. Başka bir...

Zoho Kritik Kusur İçin Yama Yayınladı
Siber Güvenlik

Zoho Kritik Kusur İçin Yama Yayınladı

Ocak 20, 2022 10:56

Kurumsal yazılım üreticisi Zoho, Pazartesi günü Desktop Central ve Desktop Central MSP’de, tehdit aktörlerinin...

FortiWeb Kurulumu
Network

FortiWeb Kurulumu

Ocak 19, 2022 12:38

Bu yazı ile başlayarak sizlere FortiWeb kurulumu yaparken nelere dikkat etmeniz gerektiğini ve nasıl...

FortiWeb Nedir?
Siber Güvenlik

FortiWeb Nedir?

Ocak 19, 2022 9:42

FortiWeb, Fortinet’in web uygulamaları için oluşturduğu bir web firewall’udur (WAF). Fortiweb iş açısından son...

İletişim
OZZTECH Bilgi Teknolojileri olarak siber güvenlik danışmanlığı ve bilgi güvenliği eğitimleri alanlarında 10 yılı aşkın bir süredir ülkemizin önde gelen kurumlarına hizmet vermeye devam etmektedir. Detaylı bilgi ve danışmanlık hizmetlerimiz için aşağıdaki formu kullanarak veya [email protected] adresimiz üzerinden bizlerle iletişime geçebilirsiniz.