Apache Log4j2高危漏洞一经发布,很多单位都在第一时间启动应急响应进行修复。但因Apache Log的应用极其广泛,其危害还在持续发酵过程中。绿盟科技使用网络空间安全仿真平台对Apache Log4j2漏洞环境进行了仿真,并在此环境上复现了漏洞的利用及修复方法,基于此演练场景可提升网络安全人员针对此漏洞的应急水平。绿盟科技一直致力于将网络安全前沿技术和安全事件提炼成仿真场景,通过场景式演练的方式提高网络安全人员的攻防水平和应急响应能力。
Apache Log4j2漏洞应急演练场景介绍
Apache Log4j2漏洞仿真场景模拟典型企业网络架构,该仿真环境包含DMZ服务区、日志服务区、内网办公区和厂区生产部四个区域。其中DMZ服务区,包含Web服务器(存在Apache Log4j2漏洞)、mail服务器、文件服务器;日志服务区部署ELK企业级日志分析系统;内网办公区包含销售部、管理部、经理部、财务部等办公终端;厂区生产部包含视频服务器、工控服务器等设备。
攻击方利用log4j2漏洞取得DMZ区Web服务器的权限,并借助Web服务器作为跳板对企业内网进行渗透。进入内网后,首先通过鱼叉攻击收集内部信息,然后对各个业务终端进行逐步渗透,最终取得厂区工控服务器的权限,达到控制生产系统的目的。防守方通过安全设备报警检测到安全事件,及时在安全设备上设置安全策略阻断攻击。通过日志分析在系统内部发现漏洞及后门并进行清除加固,最后将生产系统进行恢复。
其中涉及到Log4j2漏洞利用阶段步骤如下:
攻击方-Log4j2漏洞利用
信息搜集:攻击方对目标网络进行扫描,发现一台web服务器存在log4j任意代码执行漏洞。
工具制作:制作针对于log4j漏洞利用所需的工具,并开启后台监听服务;
攻击渗透:针对具有Log4j2漏洞的web服务器构造恶意payload并发起攻击。攻击成功后可看到靶机的文件目录。
防守方-Log4j2漏洞防守
检测阶段:防守方通过环境中的安全设备采集到流量信息和告警日志,并结合仿真平台中态势感知引擎检测到Log4j2漏洞利用行为。
遏制阶段:更新网络设备和网络安全设备策略阻断正在进行中的攻击行为。
根除阶段:清理攻击者留下的后门程序,并安装最新版补丁包修复Log4j2漏洞。
以上演练场景由绿盟网络空间安全仿真平台来进行搭建,平台可为此演练提供半自动化的过程辅助及全自动化场景控制,使用户有更多精力开展关键攻击阶段的攻防演练。平台通过虚拟化、虚实结合、安全编排、行为及流量仿真、效果评估、智慧安全知识图谱等技术构建各类应用场景,并对场景中生成的用户行为和攻防行为进行评估分析。满足用户进行人才培养、安全竞赛、应急演练、实战对抗、系统测试、技术研究及效能评估的需求。
版权声明
本站“技术博客”所有内容的版权持有者为绿盟科技集团股份有限公司(“绿盟科技”)。作为分享技术资讯的平台,绿盟科技期待与广大用户互动交流,并欢迎在标明出处(绿盟科技-技术博客)及网址的情形下,全文转发。
上述情形之外的任何使用形式,均需提前向绿盟科技(010-68438880-5462)申请版权授权。如擅自使用,绿盟科技保留追责权利。同时,如因擅自使用博客内容引发法律纠纷,由使用者自行承担全部法律责任,与绿盟科技无关。