初始存取:嘗試惡意利用 Log4j

本文說明 Security Command Center 中的威脅發現項目類型。威脅偵測工具偵測到雲端資源中可能存在威脅時,就會產生威脅發現項目。如需可用威脅發現項目的完整清單,請參閱「威脅發現項目索引」。

總覽

系統偵測到標頭或網址參數中的 Java Naming and Directory Interface (JNDI) 查閱時,就會產生這項發現項目。這些查詢可能表示有人嘗試利用 Log4Shell 漏洞。

回應方式

如要回應這項發現,請按照下列步驟操作:

步驟 1:查看調查結果詳細資料

  1. 按照「查看發現項目詳細資料」一文的說明,開啟 Initial Access: Log4j Compromise Attempt 發現項目。系統會開啟發現項目的詳細資料面板,並顯示「摘要」分頁。

  2. 在「摘要」分頁中,查看下列各節的資訊:

    • 偵測到的內容
    • 受影響的資源
    • 相關連結,尤其是下列欄位:
      • Cloud Logging URI:記錄檔項目的連結。
      • MITRE ATT&CK 方法:連結至 MITRE ATT&CK 文件。
      • 相關發現項目:任何相關發現項目的連結。
    • 在調查結果的詳細資料檢視畫面中,按一下「JSON」分頁標籤。

    • 請注意 JSON 中的下列欄位。

    • properties

      • loadBalancerName:接收 JNDI 查閱的負載平衡器名稱
      • requestUrl:HTTP 要求的請求網址。如果存在,這會包含 JNDI 查閱。
      • requestUserAgent:傳送 HTTP 要求的使用者代理程式。 如果存在,則包含 JNDI 查閱。
      • refererUrl:傳送 HTTP 要求的網頁網址。如果存在,則包含 JNDI 查詢。

步驟 2:檢查記錄

  1. 在 Google Cloud 控制台中,按一下步驟 1「Cloud Logging URI」欄位中的連結,前往「Logs Explorer」

  2. 在隨即載入的頁面中,檢查 httpRequest 欄位是否有字串權杖,例如 ${jndi:ldap://,這可能表示有人試圖進行攻擊。

    如需搜尋的字串範例和查詢範例,請參閱「CVE-2021-44228:偵測 Log4Shell 弱點」一文。

步驟 3:研究攻擊和回應方法

  1. 查看這類發現項目的 MITRE ATT&CK 架構項目: Exploit Public-Facing Application
  2. 如要查看相關發現項目,請在發現項目詳細資料的「摘要」分頁中,點選「相關發現項目」列的「相關發現項目」連結。相關發現項目是指類型相同,且屬於相同執行個體和網路的發現項目。
  3. 如要制定回應計畫,請將調查結果與 MITRE 研究結合。

步驟 4:實作回應

下列回應計畫可能適用於這項發現,但也可能影響作業。 請仔細評估調查期間收集到的資訊,找出解決問題的最佳方法。

後續步驟