McAfee a cobertura da empresa para Apache a execução remota de código do log4j CVE-2021-44228
Artigos técnicos ID:
KB95091
Última modificação: 01/07/2022
Última modificação: 01/07/2022
Ambiente
Ambientes que executam o Apache Log4j2 2.14.1 ou anterior
Resumo
Atualizações recentes deste artigo
A McAfee Enterprise está ciente do CVE-2021-44228, geralmente chamado de Log4Shell, lançado recentemente por Apache. Os atacantes podem aproveitar mensagens de registro ou parâmetros de mensagens de registro para executar a execução remota de código em servidores LDAP e outros pontos de extremidade relacionados a JNDI. Essa vulnerabilidade é considerada crítica, com uma pontuação de 10.0CVSS ( 3.0 ) .
É recomendável que os clientes upgrade sistemas vulneráveis a Apache Log4J 2.15.0. Para aplicativos de terceiros, entre em contato com os fornecedores de aplicativos em etapas para fazê-lo.
Importante: A McAfee Enterprise publicou o status SB10377-Registered-Security Bulletin-McAfee Enterprise Products para "Log4Shell" (CVE-2021-44228). O boletim de segurança fornece informações aos clientes sobre o possível impacto sobre os produtos em seu ambiente e as ações apropriadas a serem executadas para mitigar o risco. Os clientes devem revisar e ação dessas recomendações com prioridade absoluta.
Devido à gravidade dessa vulnerabilidade, este artigo fornece comunicação sobre as ações a serem executadas para mitigar o risco em ambientes de clientes. Assine este artigo para receber atualizações referentes a cobertura relacionada e medidas defensivas.
Para obter mais informações, consulte Apache Log4J de vulnerabilidades de segurança e McAfee blog de pesquisa avançada de ameaças da empresa-Log4Shell é o carvão em nosso estoque de 2021.
| Data | Atualização |
| 21 de janeiro de 2022 | Arquivo extras .DAT atualizados com um arquivo que contém uma expiração de 90 dias. |
| 6 de janeiro de 2022 | Atualizar o "ajustando a regra de especialista para o seu ambiente" seção. |
| 21 de dezembro de 2021 | Adicionou um ExtraDAT atualizado para uso com a solução de regra de especialista que contém drivers aprimorados de limpeza. |
| 20 de dezembro de 2021 | Atualizado com um conjunto de regras para McAfee Web Gateway (MWG) e UCE. O lançamento em blog do AC3 foi adicionado com detalhes sobre a cobertura de regra/ExtraDAT de especialistas. |
| 17 de dezembro de 2021 | Detecções IOC atualizadas observadas para cargas no mesmo estado. |
A McAfee Enterprise está ciente do CVE-2021-44228, geralmente chamado de Log4Shell, lançado recentemente por Apache. Os atacantes podem aproveitar mensagens de registro ou parâmetros de mensagens de registro para executar a execução remota de código em servidores LDAP e outros pontos de extremidade relacionados a JNDI. Essa vulnerabilidade é considerada crítica, com uma pontuação de 10.0CVSS ( 3.0 ) .
É recomendável que os clientes upgrade sistemas vulneráveis a Apache Log4J 2.15.0. Para aplicativos de terceiros, entre em contato com os fornecedores de aplicativos em etapas para fazê-lo.
Importante: A McAfee Enterprise publicou o status SB10377-Registered-Security Bulletin-McAfee Enterprise Products para "Log4Shell" (CVE-2021-44228). O boletim de segurança fornece informações aos clientes sobre o possível impacto sobre os produtos em seu ambiente e as ações apropriadas a serem executadas para mitigar o risco. Os clientes devem revisar e ação dessas recomendações com prioridade absoluta.
Devido à gravidade dessa vulnerabilidade, este artigo fornece comunicação sobre as ações a serem executadas para mitigar o risco em ambientes de clientes. Assine este artigo para receber atualizações referentes a cobertura relacionada e medidas defensivas.
Para receber notificações por e-mail quando este artigo for atualizado, clique em Assinar na lateral direita da página. Você deve estar conectado para assinar.
Para obter mais informações, consulte Apache Log4J de vulnerabilidades de segurança e McAfee blog de pesquisa avançada de ameaças da empresa-Log4Shell é o carvão em nosso estoque de 2021.
Problema
A biblioteca de registro do log4j do Apache contém uma vulnerabilidade com relação à resolução de variáveis dentro do recurso de Java nome e de interface de diretório (JNDI). Para explorar essa vulnerabilidade, um atacante pode passar uma cadeia de pesquisa de JNDI criada para um aplicativo, através de LDAP, LDAPs, RMI ou vetores de ataque DNS. O principal requisito para essa vulnerabilidade é que a entrada de um campo no aplicativo é passada para um log direcionado pelo componente Log4J.
A Apache atualizou suas diretrizes em 14 de dezembro de 2021 em relação ao upgrade do componente Log4J da versão originalmente resolvida do 2.15.0 , para uma versão lançada 2.16.0 recentemente devido ao lançamento do CVE-2021-45046 (CVSS ( 3.0 ) 3.7 ). A versão 2.15.0 do log4j estava incompleta em determinadas configurações não padrão, referentes aos padrões de contexto de thread e de pesquisa de contexto, que permitiria dados de entrada JNDI maliciosos para invocar um ataque de negação de serviço (dos). Se essas configurações não-padrão forem usadas, as etapas de mitigação para CVE-2021-44228 de definir a propriedadelog4j2.noFormatMsgLookup do sistema como true, não atenuarão o CVE-2021-45046.
Para as versões do log4j anteriores 2.16.0 a, a remoção da classe JndiLookup do classpath permanece como uma medida de mitigação viável para CVE-2021-44228 e CVE-2021-45046.
Exemplo:zip -q -d log4j-core-*.jar org/apache/logging/log4j/core/lookup/JndiLookup.class
As comunicações iniciais da Apache também indicaram que a atualização de Java para um mínimo de Java 8u121 pode proteger contra a execução remota de código por meio do padrão "com.sun.jndi.rmi.object.trustURLCodebase " e " com.sun.jndi.cosnaming.object.trustURLCodebase " para "" falsa. Essas informações foram removidas do site de vulnerabilidade de segurança do Apache e não parecem completamente evitar a possibilidade de execução remota de código. Embora as abordagens dessa natureza possam proporcionar uma camada de isolamento de risco, ela não removeria a vulnerabilidade de seu ambiente. A única correção eficaz é garantir que os aplicativos impactados recebam as atualizações apropriadas.
É importante observar que outra vulnerabilidade, CVE-2021-4104, foi lançada em 14 de dezembro de 2021. Essa vulnerabilidade é semelhante em método de ataque e afeta a versão 1.2. do log4j essa vulnerabilidade não é tão facilmente explorável e exige que vários pré-requisitos sejam definidos como uma configuração não-padrão.JMSAppender deve ser ativado e definido com TopicBindingName ou TopicConnectionFactoryBindingName configurações do para executar solicitações de JMSAppender JNDI.
A Apache atualizou suas diretrizes em 14 de dezembro de 2021 em relação ao upgrade do componente Log4J da versão originalmente resolvida do 2.15.0 , para uma versão lançada 2.16.0 recentemente devido ao lançamento do CVE-2021-45046 (CVSS ( 3.0 ) 3.7 ). A versão 2.15.0 do log4j estava incompleta em determinadas configurações não padrão, referentes aos padrões de contexto de thread e de pesquisa de contexto, que permitiria dados de entrada JNDI maliciosos para invocar um ataque de negação de serviço (dos). Se essas configurações não-padrão forem usadas, as etapas de mitigação para CVE-2021-44228 de definir a propriedade
Para as versões do log4j anteriores 2.16.0 a, a remoção da classe JndiLookup do classpath permanece como uma medida de mitigação viável para CVE-2021-44228 e CVE-2021-45046.
Exemplo:
As comunicações iniciais da Apache também indicaram que a atualização de Java para um mínimo de Java 8u121 pode proteger contra a execução remota de código por meio do padrão "
É importante observar que outra vulnerabilidade, CVE-2021-4104, foi lançada em 14 de dezembro de 2021. Essa vulnerabilidade é semelhante em método de ataque e afeta a versão 1.2. do log4j essa vulnerabilidade não é tão facilmente explorável e exige que vários pré-requisitos sejam definidos como uma configuração não-padrão.
Solução
A Apache lançou o Log4J 2.16.0 para solucionar essa vulnerabilidade (atualizado em: 12/14). A McAfee Enterprise recomenda aplicar essa atualização a sistemas impactados e revisar configurações relevantes do log4j em seu ambiente para identificar possíveis fluxos de trabalho que possam estar sujeitos a essa vulnerabilidade. Para aplicativos de terceiros, entre em contato com os fornecedores de aplicativos em etapas para fazê-lo.
Houve um grande quantidade de métodos observados nos quais os atacantes podem usar o Log4Shell. Há um amplo escopo e uma escala dessa vulnerabilidade, e a única maneira definitiva de se inoculated de riscos, é em ambos: aplicar atualizações de fornecedor e revisar as configurações de aplicativos. Essas ações garantem que a vulnerabilidade seja atenuada de acordo com as recomendações de Apache. Assim como ocorre com todos os principais dias zero, a melhor abordagem de segurança é supor que você já tenha sido varrido, que esteja sendo direcionado e aplique etapas de remediação ou atenuação com prioridade absoluta. A McAfee Enterprise está funcionando incansavelmente para fornecer cobertura para essa ameaça e garantir que os administradores de segurança estejam ativados em suas investigações ao avaliarem seus ambientes.
McAfee produtos corporativos impactaram por essa vulnerabilidade?
McAfee Enterprise está analisando todos os produtos em nosso portfólio para avaliar o impacto potencial e o risco para os clientes. Em 13 de dezembro de 2021, McAfee Enterprise publicou um boletim de segurança formal para fornecer orientação aos clientes sobre os produtos que são afetados por essa vulnerabilidade. O objetivo foi descrever os produtos que não incluem o componente Log4J ou que não estão em risco.
Para obter informações sobre se um produto em seu ambiente é afetado, uma solução alternativa e as etapas de mitigação e outras McAfee informações relacionadas a produtos corporativos, consulte: SB10377-boletim de segurança-McAfee Enterprise Products '-status de "Log4Shell" (CVE-2021-44228).
NOTA: O conteúdo mencionado está disponível somente para logon feito no ServicePortal users. Para exibir o conteúdo, clique no link e efetue login quando solicitado.
As atualizações continuarão a ser fornecidas, à medida que elas se tornarem disponíveis.
Coma McAfee a ajuda das soluções de produtos corporativos?
É sempre aconselhado e recomendado, para garantir que o software e os sistemas operacionais estejam atualizados nas atualizações disponíveis e atualizações de segurança à medida que eles são lançados. A McAfee Enterprise também recomenda avaliar e implementar contramedidas gerais contra ameaças de nível de entrada, onde adequado em seu ambiente. Para obter mais informações, consulte: KB91836-medidas defensivas para ameaças de vetor de entrada. Muitos desses métodos, enquanto não abordam a vulnerabilidade, podem inibir seriamente os recursos de pós-exploração dos atores e proporcionar visibilidade para que os administradores de segurança respondam de forma apropriada.
McAfee Enterprise está avaliando a cobertura de produtos em nosso portfólio de soluções de segurança. Este artigo será atualizado à medida que possíveis oportunidades de cobertura e medidas defensivas forem identificadas.
Os recursos do produto estão disponíveis para os seguintes componentes no momento:
Detecção e resposta:
Implementando a regra do ExtraDAT e da prevenção de exploração:
Exclude PROCESS_CMD_LINE { -v "* chcp 1252 *" }
Exclude PROCESS_CMD_LINE { -v "* ping 127.0.0.1*" }
Isso permite que os processos que, de outra forma disparassem a regra sejam excluídos com base nos parâmetros de linha de comando especificados em uso. A mesma ação sem o parâmetro especificado ainda dispararia a regra. O parâmetro de linha de comando variará e deverá ser exclusivo o suficiente para que ele não exclua eventos indesejados. os administradores do ePO podem se referir aos eventos de ameaça da prevenção de exploração do Log4J em seus ambientes para determinar quais parâmetros podem ser necessários.
Nota: Devido à natureza da regra, as exclusões por processo sozinha não são benéficas, já que apenas processos predefinidos são incluídos.
Seção de reação: A primeira linha dentro da regra, reação de reações ACTOR_PROCESS relatório de varreduras. Essa linha informa à prevenção de exploração que, quando o processo de ator chamou um destino, para iniciar uma varredura de memória de processo dos processos afetados. Observe que qualquer outra reações que não seja relatório, é aplicada ao processo de ator, que pode ser o aplicativo vulnerável em execução. Isso significa que, se detectarmos o TOMCAT sendo explorado, a limpeza poderá ser aplicada aTOMCATxx.EXE si mesmo. É recomendável deixar a regra no relatório somente e isolar o sistema usando outros meios (como a quarentena do EDR) se ocorrer uma detecção. No entanto, há várias opções disponíveis para reações. É recomendável que você teste antes de implementar o.
Nota: As ExtraDAT fornecidas neste artigo foram atualizadas para fornecer funcionalidade aprimorada em 21 de dezembro de 2021. Os clientes que aplicaram o ExtraDAT antes de 21 de dezembro devem redistribuir a nova versão aprimorada (EXTRA2.zip ). As alterações feitas nessa ExtraDAT permitem que ações limpas sejam direcionadas ao processo de destino sem afetar o processo de ator pai. Por exemplo, se Java.exe o for iniciado cmd.exe devido a uma exploração, a detecção interromperá o cmd.exe processo sem ser interrompida java.exe . Isso permite que os administradores reajam e investiguem o sistema, limitando o potencial de distruption em aplicativos de produção.
Endpoint Security (ens), VirusScan Enterprise (VSE), McAfee Web Gateway (MWG):
Em 12 de dezembro de 2021, McAfee Enterprise lançou conteúdo V3AMCore 4648, MEDDAT 4818.0000e v2 dat 10196. As detecções genéricas são fornecidas sob o título Exploit-CVE-2021-44228.C . Essas detecções identificam o uso de potencialmente maliciosos jndi:ldaps , jndi:ldap , jndi:rmi e jndi:dns cadeias de caracteres. As detecções são representadas como um "programa potencialmente indesejado" e é recomendável que você revise as políticas para certificar-se de que os mecanismos de varredura obedeçam às detecções de programas indesejados.
Outras detecções continuam a ser adicionadas, e é recomendável que os clientes continuem a atualização o conteúdo de terminal e gateway seguindo a McAfee das empresas de versões diárias.
VSE: política de varredura ao acessar
As detecções também estão disponíveis para amostras relacionadas a campanhas no mesmo estado que exploram essa vulnerabilidade. Essa lista pode não ser completa, e os exemplos estão sendo avaliados continuamente para detecção.
Os clientes devem ter certeza de que todas as soluções recebem o conteúdo mais atual à medida que elas são lançadas, o que ocorre em uma cadência diária. Isso garante que, à medida que a cobertura for adicionada, ela será disponibilizada prontamente para fornecer proteção.
McAfee Web Gateway (MWG):
O MWG Classic 10.2 e versões posteriores podem identificar e bloquear padrões de pesquisa de JNDI malicioso que disparam a vulnerabilidade do Log4Shell por meio do conjunto de regras "Pesquisar por Log4Shell" (disponível na seção anexo deste artigo). Isso funciona para solicitações, o benefício é:
Inteligência contra ameaças:
Houve um grande quantidade de métodos observados nos quais os atacantes podem usar o Log4Shell. Há um amplo escopo e uma escala dessa vulnerabilidade, e a única maneira definitiva de se inoculated de riscos, é em ambos: aplicar atualizações de fornecedor e revisar as configurações de aplicativos. Essas ações garantem que a vulnerabilidade seja atenuada de acordo com as recomendações de Apache. Assim como ocorre com todos os principais dias zero, a melhor abordagem de segurança é supor que você já tenha sido varrido, que esteja sendo direcionado e aplique etapas de remediação ou atenuação com prioridade absoluta. A McAfee Enterprise está funcionando incansavelmente para fornecer cobertura para essa ameaça e garantir que os administradores de segurança estejam ativados em suas investigações ao avaliarem seus ambientes.
McAfee produtos corporativos impactaram por essa vulnerabilidade?
McAfee Enterprise está analisando todos os produtos em nosso portfólio para avaliar o impacto potencial e o risco para os clientes. Em 13 de dezembro de 2021, McAfee Enterprise publicou um boletim de segurança formal para fornecer orientação aos clientes sobre os produtos que são afetados por essa vulnerabilidade. O objetivo foi descrever os produtos que não incluem o componente Log4J ou que não estão em risco.
Para obter informações sobre se um produto em seu ambiente é afetado, uma solução alternativa e as etapas de mitigação e outras McAfee informações relacionadas a produtos corporativos, consulte: SB10377-boletim de segurança-McAfee Enterprise Products '-status de "Log4Shell" (CVE-2021-44228).
NOTA: O conteúdo mencionado está disponível somente para logon feito no ServicePortal users. Para exibir o conteúdo, clique no link e efetue login quando solicitado.
As atualizações continuarão a ser fornecidas, à medida que elas se tornarem disponíveis.
Para receber notificações por e-mail quando este artigo for atualizado, clique em Assinar na lateral direita da página. Você deve estar conectado para assinar.
Coma McAfee a ajuda das soluções de produtos corporativos?
É sempre aconselhado e recomendado, para garantir que o software e os sistemas operacionais estejam atualizados nas atualizações disponíveis e atualizações de segurança à medida que eles são lançados. A McAfee Enterprise também recomenda avaliar e implementar contramedidas gerais contra ameaças de nível de entrada, onde adequado em seu ambiente. Para obter mais informações, consulte: KB91836-medidas defensivas para ameaças de vetor de entrada. Muitos desses métodos, enquanto não abordam a vulnerabilidade, podem inibir seriamente os recursos de pós-exploração dos atores e proporcionar visibilidade para que os administradores de segurança respondam de forma apropriada.
McAfee Enterprise está avaliando a cobertura de produtos em nosso portfólio de soluções de segurança. Este artigo será atualizado à medida que possíveis oportunidades de cobertura e medidas defensivas forem identificadas.
Os recursos do produto estão disponíveis para os seguintes componentes no momento:
Detecção e resposta:
Endpoint Security (ens) ExtraDat, processo de regra do Expert varredura de memória disparado:
Para obter mais informações sobre essa abordagem de cobertura, consulte a McAfee Enterprise Log4J e a memória que sabia muita postagem no blog.
Para obter mais informações sobre essa abordagem de cobertura, consulte a McAfee Enterprise Log4J e a memória que sabia muita postagem no blog.
A McAfee Enterprise desenvolveu uma solução para permitir que os administradores identifiquem e respondam a tentativas ativas de exploração de CVE-2021-44228 em seu ambiente. Essa solução é uma abordagem em duas dobras. Aproveitando a capacidade das regras ENS Expert nas versões 10.7.0 2020 atualização (notas de versão) e posteriores, para reagir a disparadores chamando uma varredura de memória por solicitação do processo de destino. Essa abordagem exige que dois pré-requisitos sejam aplicados ao ponto de extremidade
- Você deve aplicar as ExtraDat fornecidas na seção anexo deste artigo para fornecer conteúdo para varreduras de memória por solicitação a fim de detectar
JNDI as cadeias de caracteres relacionadas na memória do processo.
Importante: Em 21 de dezembro, um novo ExtraDAT foi adicionado a este artigo no arquivamentoEXTRA2.zip . Para obter mais informações, consulte o "ajustando a regra de especialista do seu ambiente" seção abaixo.
- Você deve implementar a regra de especialista em sua política do Endpoint Security Exploit Prevention e definir como somente relatar . A regra de especialista não fornece proteção suficiente para ser útil em uma capacidade de bloqueio e, dessa forma, os riscos podem causar possíveis conflitos com processos legítimos em seu ambiente. A definição da regra como somente relatar , garante que ele dispare as varreduras de memória por solicitação quando a regra for violada, sem risco de bloqueios indesejados.
NOTAS:
- É importante que essa configuração seja testada completamente para garantir a integridade da regra e para evitar qualquer conflito em potencial. Quando o teste confirma que a regra é viável para o seu ambiente, os clientes são incentivados a aplicar esse mecanismo a Windows Server plataformas em que Java aplicativos baseados estejam potencialmente expostos à conectividade de rede pela Internet. Por exemplo, Apache Tomcat, servidores de pesquisa elásticos. Isso diminui a probabilidade de falsos positivos e as medidas de ajuste adicionais que podem ser necessárias para os resultados. A aplicação deste conteúdo às estações de trabalho de Windows de usuários gerais não é recomendada.
- A McAfee Enterprise está revisando opções para tornar esse conteúdo disponível para os clientes de MVISION também. Assine este artigo para ser informado quando as atualizações forem feitas.
- Essa configuração resulta em dois eventos que são gerados quando um comportamento potencialmente malicioso é detectado. A primeira detecção reflete o disparador de regras de prevenção de exploração. A segunda detecção reflete a varredura de memória por solicitação que detecta o comportamento potencialmente malicioso. Se apenas o primeiro evento for recebido, a varredura de memória não identificou quaisquer cadeias de caracteres relacionadas a maliciosos
JNDI na memória do processo. Se o segundo evento for recebido, indicando que a varredura de memória por solicitação detectou umaJNDI cadeia relacionada na memória do processo, os administradores devem executar ações imediatas no sistema identificado. - A imagem a seguir representa exemplos dos dois tipos de ameaças de detecção possíveis diferentes. Observe o tipo
Trojan de ameaça, com o processo de origem da ameaça ' varredura sob demanda '. Esse tipo de evento é o evento de segundo estágio e indica que os administradores devem executar ações imediatas.
Implementando a regra do ExtraDAT e da prevenção de exploração:
- Faça check-in do arquivo de ExtraDAT no ePO, por meio da função de "pacote de check-in" da página do repositório mestre. Ou, para testes ou pontos de extremidade não gerenciados, aplique o ExtraDAT por meio do console do ENS.
Para obter mais informações, consulte: KB67602-como fazer check-in e distribuir um extra .DAT no ePolicy Orchestrator e KB93673-aplique o extra .DAT localmente usando o cliente do Endpoint Security.
Após o check-in, o ExtraDAT reflete o nome a seguir no repositório mestre e dentro das tarefas do cliente.
Nota: McAfee Enterprise oferece uma ferramenta para mesclar ExtraDATs no portal de suporte se você receber outro driver extra que deve ser aplicado ao seu ambiente.
- Verifique se as tarefas de atualização do cliente para os pontos de extremidade incluem o tipo de pacote ExtraDAT, e se essas atualizações são aplicadas aos sistemas. Depois que o ExtraDAT for implantado em sistemas que devem receber a regra de especialista, continue com a modificação de suas políticas na etapa 3.
- Para configurar a regra de especialista, navegue até o Endpoint Security, política de prevenção de exploração . Adicione uma regra de especialista configurada com as seguintes configurações:
Nome da regra Exploração de Log4J de JNDI Gravidade Alta Ação Relatar Tipo de regra Processos - Aplique o seguinte conteúdo de regra à regra:
Rule {
Reaction SCAN ACTOR_PROCESS ScanAction REPORT
Process {
Include OBJECT_NAME {
-v "java.exe"
-v "javaw.exe"
-v "tomcat*.exe"
}
Include AggregateMatch -xtype "dll1" {
Include DLL_LOADED -name "java" { -v 0x1 }
}
Include AggregateMatch -xtype "dll2" {
Include DLL_LOADED -name "jvm" { -v 0x1 }
}
}
Target {
Match PROCESS {
Include OBJECT_NAME { -v "cmd.exe" }
Include OBJECT_NAME { -v "powershell.exe" }
Include OBJECT_NAME { -v "powershell_ise.exe" }
Include OBJECT_NAME { -v "wscript.exe" }
Include OBJECT_NAME { -v "cscript.exe" }
Include OBJECT_NAME { -v "rundll32.exe" }
Exclude PROCESS_CMD_LINE { -v "* chcp 1252 *" }
}
}
} -
Salve a regra e a política modificadas. Aplique-a aos pontos de extremidade que receberam o conteúdo de ExtraDAT apropriado.
Ajustando a regra de especialista do seu ambiente:
A regra de especialista foi criada para disparar uma varredura por solicitação (ODS) dirigida. A regra não indica que uma ameaça está presente nos sistemas. Você pode ignorar com segurança eventos de prevenção de exploração do Log4J não seguidos por um evento de detecção de ODS. Grandes números desses eventos de prevenção de exploração podem ser gerados por operações normais e não indicam um falso positivo, uma vez que os critérios da regra foram atendidos para disparar a tarefa de ODS. Para gerenciar os eventos, consulte a seção "agendamento de limpeza da" de log de eventos de ameaça do 5.10 Guia de produtodo ePO.
A vantagem dessa abordagem é invocar uma varredura de memória de ODS voltada com base no disparador de regra de especialista. Portanto, outras exclusões não devem ser exigidas e podem reduzir a eficácia de ODS da regra. No entanto, você pode ajustar perfeitamente a regra de especialista do seu ambiente. O ajuste da regra garante que o ENS apenas faça a varredura da memória do processo quando for necessário. Verifique se a regra é aplicada a sistemas com aplicativos potencialmente vulneráveis por meio de atribuição de política direcionada e agrupamento de sistemas do ePO. Essa ação pode evitar cobertura desnecessária e você pode ajustar a regra para ignorar o comportamento natural do aplicativo.
Para vídeos de treinamento de regras de especialistas, consulte: KB89677-vídeos de treinamento de regras de especialistas. Para obter a instrução Suporte técnico para regras personalizadas com o ENS, consulte: KB94889-declaração de suporte para regras personalizadas com Endpoint Security. Se você alterar a regra conforme fornecido neste artigo, certifique-se de que validou e imponha a regra de especialista em um sistema cliente antes de aplicar a política no ePO. Para obter mais informações, consulte o "validar e impor uma regra de especialista em uma seção de sistema cliente" do 10.7 Guia de produtodo ens.
A regra de especialista foi criada para disparar uma varredura por solicitação (ODS) dirigida. A regra não indica que uma ameaça está presente nos sistemas. Você pode ignorar com segurança eventos de prevenção de exploração do Log4J não seguidos por um evento de detecção de ODS. Grandes números desses eventos de prevenção de exploração podem ser gerados por operações normais e não indicam um falso positivo, uma vez que os critérios da regra foram atendidos para disparar a tarefa de ODS. Para gerenciar os eventos, consulte a seção "agendamento de limpeza da" de log de eventos de ameaça do 5.10 Guia de produtodo ePO.
A vantagem dessa abordagem é invocar uma varredura de memória de ODS voltada com base no disparador de regra de especialista. Portanto, outras exclusões não devem ser exigidas e podem reduzir a eficácia de ODS da regra. No entanto, você pode ajustar perfeitamente a regra de especialista do seu ambiente. O ajuste da regra garante que o ENS apenas faça a varredura da memória do processo quando for necessário. Verifique se a regra é aplicada a sistemas com aplicativos potencialmente vulneráveis por meio de atribuição de política direcionada e agrupamento de sistemas do ePO. Essa ação pode evitar cobertura desnecessária e você pode ajustar a regra para ignorar o comportamento natural do aplicativo.
Para vídeos de treinamento de regras de especialistas, consulte: KB89677-vídeos de treinamento de regras de especialistas. Para obter a instrução Suporte técnico para regras personalizadas com o ENS, consulte: KB94889-declaração de suporte para regras personalizadas com Endpoint Security. Se você alterar a regra conforme fornecido neste artigo, certifique-se de que validou e imponha a regra de especialista em um sistema cliente antes de aplicar a política no ePO. Para obter mais informações, consulte o "validar e impor uma regra de especialista em uma seção de sistema cliente" do 10.7 Guia de produtodo ens.
Existem três seções principais da regra em que você deve se concentrar.
Processos de ator: Todos os processos para os quais a regra do especialista deve monitor. Esta seção inclui executáveis de aplicativos que utilizam o Java ou que podem ser conhecidos por conter Log4J. Esta seção permite que a regra de especialista monitor a atividade de chamadas em potencial para a seção de destino.
Seção de destino: Inclui todos os binários que podem ser considerados suspeitos se forem iniciados a partir do processo de ator. A regra de especialista compara os detalhes com vetores de ataque sem arquivos comuns, como 'wscript.exe ' e ' powershell.exe '. Se o processo de ator chamar um binário listado na seção de destino, a regra de especialista será resolvida para a seção reação.
Você pode excluir atividades de processo legítimas pelos parâmetros de linha de comando usados na execução do processo adicionando uma linha como a seguinte à seção de destino da regra.
Exemplos
Seção de destino: Inclui todos os binários que podem ser considerados suspeitos se forem iniciados a partir do processo de ator. A regra de especialista compara os detalhes com vetores de ataque sem arquivos comuns, como '
Você pode excluir atividades de processo legítimas pelos parâmetros de linha de comando usados na execução do processo adicionando uma linha como a seguinte à seção de destino da regra.
Exemplos
Exclude PROCESS_CMD_LINE { -v "* ping 127.0.0.1*" }
Isso permite que os processos que, de outra forma disparassem a regra sejam excluídos com base nos parâmetros de linha de comando especificados em uso. A mesma ação sem o parâmetro especificado ainda dispararia a regra. O parâmetro de linha de comando variará e deverá ser exclusivo o suficiente para que ele não exclua eventos indesejados. os administradores do ePO podem se referir aos eventos de ameaça da prevenção de exploração do Log4J em seus ambientes para determinar quais parâmetros podem ser necessários.
Nota: Devido à natureza da regra, as exclusões por processo sozinha não são benéficas, já que apenas processos predefinidos são incluídos.
Seção de reação: A primeira linha dentro da regra, reação de reações ACTOR_PROCESS relatório de varreduras. Essa linha informa à prevenção de exploração que, quando o processo de ator chamou um destino, para iniciar uma varredura de memória de processo dos processos afetados. Observe que qualquer outra reações que não seja relatório, é aplicada ao processo de ator, que pode ser o aplicativo vulnerável em execução. Isso significa que, se detectarmos o TOMCAT sendo explorado, a limpeza poderá ser aplicada a
Nota: As ExtraDAT fornecidas neste artigo foram atualizadas para fornecer funcionalidade aprimorada em 21 de dezembro de 2021. Os clientes que aplicaram o ExtraDAT antes de 21 de dezembro devem redistribuir a nova versão aprimorada (
CLEAN_PROCESS -Tentativa de limpar o processo. A detecção é registrada no registro de atividades da varredura por solicitação.DELETE_PROCESS -Tentativa de excluir o processo. A detecção é registrada no registro de atividades da varredura por solicitação.CLEAN_DELETE_PROCESS -Primeiro, tente limpar o processo, caso não tenha êxito e tente excluir o processo. A detecção é registrada no registro de atividades da varredura por solicitação.REPORT -Não executar nenhuma ação sobre o processo detectado. A detecção é registrada no registro de atividades da varredura por solicitação e um evento de detecção é enviado ao ePO.REPORT_CLEAN_PROCESS -Tentativa de limpar o processo. A detecção é registrada no registro de atividades da varredura por solicitação e um evento de detecção é enviado ao ePO.REPORT_DELETE_PROCESS -Tentativa de excluir o processo. A detecção é registrada no registro de atividades da varredura por solicitação e um evento de detecção é enviado ao ePOREPORT_CLEAN_DELETE_PROCESS -Primeiro, tente limpar o processo, caso não tenha êxito e tente excluir o processo. A detecção é registrada no registro de atividades da varredura por solicitação e um evento de detecção é enviado ao ePO.
Em 12 de dezembro de 2021, McAfee Enterprise lançou conteúdo V3
Outras detecções continuam a ser adicionadas, e é recomendável que os clientes continuem a atualização o conteúdo de terminal e gateway seguindo a McAfee das empresas de versões diárias.
Ativação de detecções de programas indesejados:
ENS: política de varredura ao acessar, configurações do processo (Verifique se a configuração é ajustada para todos os perfis de risco, quando aplicável.)
ENS: política de varredura ao acessar, configurações do processo (Verifique se a configuração é ajustada para todos os perfis de risco, quando aplicável.)
VSE: política de varredura ao acessar
As detecções também estão disponíveis para amostras relacionadas a campanhas no mesmo estado que exploram essa vulnerabilidade. Essa lista pode não ser completa, e os exemplos estão sendo avaliados continuamente para detecção.
| Hash | Nome da detecção |
|---|---|
| 0579a8907f34236b754b07331685d79e | Linux/Black-T. a |
| 07b7746b922cf7d7fa821123a226ed36 | Linux/Coinminer. BL |
| 648effa354b3cbaad87b45f48d59c616 | LINUX/Kinsing. a |
| ccef46c7edf9131ccffc47bd69eb743b | LINUX/Downloader. bb |
| 09c5608ec058a3f1d995a4340b5d204b | Exploit-CVE-2021-44228.d |
| 671182fa65c043c5643aca73a2827553 | Exploração-CVE-2021-44228. d |
| 0af9f06338c94bc026787a85d06af5ac | Exploração-CVE-2021-44228. d |
| 2b4303e6a9346781bd70f32290f97d4f | Exploração-CVE-2021-44228. d |
| 751249af62035965a26ab90ff9c652f2 | Exploração-CVE-2021-44228. d |
| eab89d2f9511d79a7ea10477320b93bd | Exploração-CVE-2021-44228. d |
| e29b1df3acaa1dd701fa123e362ab52d | Exploração-CVE-2021-44228. d |
| b8519db943405027127c8a8b919fde9e0c5f9c9f | BAT/Agent. bp |
| f43a96d6970e8252894d6a53c6858bf2ab75149f | BAT/Agent. bp |
| 716167b08e01e9c5919b8e8458e59e8e9ad68826 | BAT/Agent. BS |
| c927738922b87802cc75697dd99dd8c7d8cfdf1e | Linux/Black-T. a |
| 8611063eefa5cc2bbec29870fb56779192eed454 | Linux/Black-T. a |
| bf2df8f2813ef4e2cf61ea193e091b808aa854c7 | Linux/Coinminer. BL |
| ffe3dda2486083d0b26f1c64ac300923088e01df | Linux/Coinminer. BL |
| 38c56b5e1489092b80c9908f04379e5a16876f01 | LINUX/Downloader. bb |
| 8654b19a3fd4e3e571cc84c0c3990669c04e3558 | Linux/Gates |
| 0194637f1e83c2efc8bcda8d20c446805698c7bc | LINUX/Kinsing. a |
| 296273fd9965bf41d8d3970c766158c7f24fc618 | LINUX/tsunami. u |
| 61586a0c47e3ae120bb53d73e47515da4deaefbb | LINUX/tsunami. u |
| 43c1c41fdb133c3f9c25edcdff16e229ac31f42b | LINUX/tsunami. u |
| 335d6b7d76d2918ef133fe9d4735ae201616323b | LINUX/tsunami. u |
| e3eb1e98ca477918154b9ed7bcc2b7fe757c1020 | LINUX/tsunami. u |
| fd91820560d2e0aa7079d7c7756e343e66f47056 | LINUX/tsunami. v |
| 82d984fcbf4f8bc8ffbad29e3f3cc4cfac70d8d4 | LINUX/tsunami. v |
| b21aa1107ecc79f4ad29f68a026a02e2abc952ef | LINUX/tsunami. v |
| 0c876245dfdeb17c0ad472b0356cd5658b384f6a | LINUX/tsunami. v |
| edcacb6b71a0a66736f8b3dd55aaae371e4171b8 | LINUX/tsunami. v |
| e121d1050bf62a94adfde406325e70a7878b3ed8 | LINUX/tsunami. v |
| 3c7a4da4190ceac25f28719794e2b9e6d62105c1 | LINUX/tsunami. v |
| 2e75071855d7f1c78eed2e6e971e763451c6298c | LINUX/tsunami. v |
| 237315820fe77880e892d5c30b2f5fde7e5f6d64 | LINUX/tsunami. v |
| 7c1808a5296ece6400e4ec558b9ef0d82e0f23b0 | LINUX/tsunami. v |
| 5008672d6f47a444c743455346e0b04eef257b30 | LINUX/tsunami. v |
| 74402152ac0f0c9dfed6f76975080ce1d0d4584d | Linux-coinminer. d |
| 18791de615208b29809e840771e11ac8c3b5ed7b | PS/Reverseshell. a |
| 0d4404b132e6e297974eca391f176a047ad7ed73 | PUP-XOK-HR |
| cef612c5c042cceddff8b6b8bc573bb0af46a208 | GenericRXNV-AC!F5271F6B20FD |
| 9147d834f4cb7047a6e6ab96565868c6fede373e | RDN/Generic Downloader.x |
| 95d9a068529dd2ea4bb4bef644f5c4f5 | RDN/Generic.dx |
| 18cc66e29a7bc435a316d9c292c45cc6 | W64/CoinMiner |
| 0BB39BA78FC976EDB9C26DE1CECD60EB | Linux/Tsunami!0BB39BA78FC9 |
| 0F7C2DD019AFCC092FD421EE52431AFF | JAVA/Agent. f |
| 1348A00488A5B3097681B6463321D84C | Linux/Log4Shell |
| 163E03B99C8CB2C71319A737932E9551 | Coinminer.cp |
| 1780D9AAF4C048AD99FA93B60777E3F9 | Coinminer. CP |
| 194DB367FBB403A78D63818C3168A355 | W64/CoinMiner |
| 1CF9B0571DECFF5303EE9FE3C98BB1F1 | Coinminer. CP |
| 1E051111C4CF327775DC3BAB4DF4BF85 | BAT/Downloader. AX |
| 1FE52C0B0139660B2335DD7B7C12EA05 | LINUX/Coinminer. cl |
| 20DF80B56B1B6FFC8CA49F8AD3AB7B81 | Linux/Mirai!20DF80B56B1B |
| 39FC2CEE0A2BEA3EE9A065F6955FFD43 | Java/Agent!39FC2CEE0A2B |
| 51E052EB6032D11B3093FECB901870EA | Linux/Mirai!51E052EB6032 |
| 7B8CE524AE078A76A69548AEBB95CB7E | Java/Agent principal .class . i |
| 844864C45816B10356B730F450BD7037 | Linux/Mirai!844864C45816 |
| 963B4F516B86C9D8B30BEFE714CEDB22 | Linux/Downloader. BV |
| AB80C03C460BD3D6A631FD0CEDDDEF49 | Linux/Mirai!AB80C03C460B |
| C6E8E6BB0295437FB790B1151A1B107E | Linux/Mirai!C6E8E6BB0295 |
| C717C47941C150F867CE6A62ED0D2D35 | W64/CoinMiner |
| D766BD832973A991C5894A3521C9815E | Linux/Mirai!D766BD832973 |
| F14019C55E7CE19D93838A4B2F6AEC12 | BAT/Downloader. AX |
| F5271F6B20FDA39C213FD9579AD7E1FB | Linux/Tsunami!F5271F6B20FD |
| F65F547869CA35A8E2902C4DEC0DD97F | LINUX/Coinminer. CB |
| F8ED43117DFB995F4B9D88F566394BA4 | CVE-2021-44228!F8ED43117DFB |
Os clientes devem ter certeza de que todas as soluções recebem o conteúdo mais atual à medida que elas são lançadas, o que ocorre em uma cadência diária. Isso garante que, à medida que a cobertura for adicionada, ela será disponibilizada prontamente para fornecer proteção.
McAfee Web Gateway (MWG):
O MWG Classic 10.2 e versões posteriores podem identificar e bloquear padrões de pesquisa de JNDI malicioso que disparam a vulnerabilidade do Log4Shell por meio do conjunto de regras "Pesquisar por Log4Shell" (disponível na seção anexo deste artigo). Isso funciona para solicitações, o benefício é:
- Quando você usa o MWG como um proxy reverso, os sistemas por trás dele são protegidos contra explorações do Log4Shell em cabeçalhos HTTP e corpo (o GAM detecta padrões de exploração em uma solicitação de POST, com atualizações de DAT recentes).
- Quando você usa o MWG como um proxy progressivo, os ataques originados de sua própria rede com uma solicitação POST através do proxy serão bloqueados.
Para aplicar/importar o conjunto de regras:
- Coloque o conjunto
2021-12-13_10-50_Search for Log4Shell.xml de regras (disponível na seção anexo deste artigo) na área de trabalho. - Clique em Adicionar e, em seguida, no conjunto de regras de nível superior.
- Clique em Importar conjunto de regras da biblioteca de conjuntos de regras.
- Clique em Importar do arquivo.
- Selecione o arquivo.
- Resolver todos os conflitos.
- Clique em OK.
- Mova a configuração de regra para um local apropriado na política, de forma ideal onde a varredura SSL está ativada.
- Clique em Salvar alterações.
O UCE e o MWG também podem proteger-se contra download de arquivos de classe Java. A abordagem mais simples é bloquear o tipo de mídia "Application/Java-VM" (encontrado na categoria tipo de mídia "executáveis") completamente. Se a classe legítima arquivo download precisa ser permitida, é recomendável conceder acesso por endereço IP ou domínio. Consulte a arquivo 2021-12-20_15-16_Block Java Class Files.xml (disponível na seção anexo deste artigo) para MWG. Para importar o conjunto de regras, siga as etapas descritas acima. Em UCE, você pode criar um conjunto de regras semelhante facilmente por meio da interface do usuário da política.
Assinatura definida pelo usuário do Network Security Platform (NSP): As assinaturas definidas pelo usuário (UDS) são fornecidas como uma solução imediata para vulnerabilidades conhecidas.
Para obter mais informações sobre essa UDS, consulte: KB55447-registro de assinaturas da plataforma de segurança de rede definidas pelo usuário.
Para obter mais informações sobre essa UDS, consulte: KB55447-registro de assinaturas da plataforma de segurança de rede definidas pelo usuário.
NOTA: O conteúdo mencionado está disponível somente para logon feito no ServicePortal users. Para exibir o conteúdo, clique no link e efetue login quando solicitado.
- Assinatura definida pelo usuário: KB95092-Registered-NSP Emergency UDS Release Notes-UDS-http: Apache vulnerabilidade de execução remota de código no Log4j2 (CVE-2021-44228)
- ID de ataque: Automaticamente atribuído
- Protocolo de ataque: PROTOCOLO
- Direção do ataque: Cliente para servidor
- A ser incluído no próximo Sigset regular? Sim
- Data de lançamento: 12 de dezembro de 2021
- Descrição: Este alerta indica uma tentativa de exploração de uma vulnerabilidade de execução remota de código no Apache Log4J 2.
Busca, avaliação de vulnerabilidades e investigação:
- MVISION Endpoint Detection and Response (EDR), McAfee Active Response (mar):
Você pode usar a funcionalidade 'Real-Time Search ' e 'Historical Search ' para procurar proativamente sistemas vulneráveis ou atividades de exploração em seu ambiente.
A McAfee Enterprise mantém um repositório GitHub de consultas úteis 'Real-Time Search ' que os administradores podem encontrar para ajudá-los em sua investigação. Para obter mais informações, consulte McAfee consultas RTS da empresa do GitHub.
Os coletores incorporados podem ativar a pesquisa para o seguinte:
A autoavaliação de versões vulneráveis e informadas do log4j pelo hash pode ser realizada com uma consulta de base. Por exemplo:
HostInfo os, hostname, platform
AND Files sha256, full_name
WHERE HostInfo platform equals "Linux"
AND Files sha256 equals "bf4f41403280c1b115650d470f9b260a5c9042c04d9bcc2a6ca504a66379b2d6"
OR Files sha256 equals "bf4f41403280c1b115650d470f9b260a5c9042c04d9bcc2a6ca504a66379b2d6"
OR Files sha256 equals "58e9f72081efff9bdaabd82e3b3efe5b1b9f1666cefe28f429ad7176a6d770ae"
OR Files sha256 equals "ed285ad5ac6a8cf13461d6c2874fdcd3bf67002844831f66e21c2d0adda43fa4"
OR Files sha256 equals "dbf88c623cc2ad99d82fa4c575fb105e2083465a47b84d64e2e1a63e183c274e"
OR Files sha256 equals "a38ddff1e797adb39a08876932bc2538d771ff7db23885fb883fec526aff4fc8"
OR Files sha256 equals "7d86841489afd1097576a649094ae1efb79b3147cd162ba019861dfad4e9573b"
OR Files sha256 equals "4bfb0d5022dc499908da4597f3e19f9f64d3cc98ce756a2249c72179d3d75c47"
OR Files sha256 equals "473f15c04122dad810c919b2f3484d46560fd2dd4573f6695d387195816b02a6"
OR Files sha256 equals "b3fae4f84d4303cdbad4696554b4e8d2381ad3faf6e0c3c8d2ce60a4388caa02"
OR Files sha256 equals "dcde6033b205433d6e9855c93740f798951fa3a3f252035a768d9f356fde806d"
OR Files sha256 equals "85338f694c844c8b66d8a1b981bcf38627f95579209b2662182a009d849e1a4c"
OR Files sha256 equals "db3906edad6009d1886ec1e2a198249b6d99820a3575f8ec80c6ce57f08d521a"
OR Files sha256 equals "ec411a34fee49692f196e4dc0a905b25d0667825904862fdba153df5e53183e0"
OR Files sha256 equals "a00a54e3fb8cb83fab38f8714f240ecc13ab9c492584aa571aec5fc71b48732d"
OR Files sha256 equals "c584d1000591efa391386264e0d43ec35f4dbb146cad9390f73358d9c84ee78d"
OR Files sha256 equals "8bdb662843c1f4b120fb4c25a5636008085900cdf9947b1dadb9b672ea6134dc"
OR Files sha256 equals "c830cde8f929c35dad42cbdb6b28447df69ceffe99937bf420d32424df4d076a"
OR Files sha256 equals "6ae3b0cb657e051f97835a6432c2b0f50a651b36b6d4af395bbe9060bb4ef4b2"
OR Files sha256 equals "535e19bf14d8c76ec00a7e8490287ca2e2597cae2de5b8f1f65eb81ef1c2a4c6"
OR Files sha256 equals "42de36e61d454afff5e50e6930961c85b55d681e23931efd248fd9b9b9297239"
OR Files sha256 equals "4f53e4d52efcccdc446017426c15001bb0fe444c7a6cdc9966f8741cf210d997"
OR Files sha256 equals "df00277045338ceaa6f70a7b8eee178710b3ba51eac28c1142ec802157492de6"
OR Files sha256 equals "28433734bd9e3121e0a0b78238d5131837b9dbe26f1a930bc872bad44e68e44e"
OR Files sha256 equals "cf65f0d33640f2cd0a0b06dd86a5c6353938ccb25f4ffd14116b4884181e0392"
OR Files sha256 equals "5bb84e110d5f18cee47021a024d358227612dd6dac7b97fa781f85c6ad3ccee4"
OR Files sha256 equals "ccf02bb919e1a44b13b366ea1b203f98772650475f2a06e9fac4b3c957a7c3fa"
OR Files sha256 equals "815a73e20e90a413662eefe8594414684df3d5723edcd76070e1a5aee864616e"
OR Files sha256 equals "10ef331115cbbd18b5be3f3761e046523f9c95c103484082b18e67a7c36e570c"
OR Files sha256 equals "dc815be299f81c180aa8d2924f1b015f2c46686e866bc410e72de75f7cd41aae"
OR Files sha256 equals "9275f5d57709e2204900d3dae2727f5932f85d3813ad31c9d351def03dd3d03d"
OR Files sha256 equals "f35ccc9978797a895e5bee58fa8c3b7ad6d5ee55386e9e532f141ee8ed2e937d"
OR Files sha256 equals "5256517e6237b888c65c8691f29219b6658d800c23e81d5167c4a8bbd2a0daa3"
OR Files sha256 equals "d4485176aea67cc85f5ccc45bb66166f8bfc715ae4a695f0d870a1f8d848cc3d"
OR Files sha256 equals "3fcc4c1f2f806acfc395144c98b8ba2a80fe1bf5e3ad3397588bbd2610a37100"
OR Files sha256 equals "057a48fe378586b6913d29b4b10162b4b5045277f1be66b7a01fb7e30bd05ef3"
OR Files sha256 equals "5dbd6bb2381bf54563ea15bc9fbb6d7094eaf7184e6975c50f8996f77bfc3f2c"
OR Files sha256 equals "c39b0ea14e7766440c59e5ae5f48adee038d9b1c7a1375b376e966ca12c22cd3"
OR Files sha256 equals "6f38a25482d82cd118c4255f25b9d78d96821d22bab498cdce9cda7a563ca992"
OR Files sha256 equals "54962835992e303928aa909730ce3a50e311068c0960c708e82ab76701db5e6b"
OR Files sha256 equals "e5e9b0f8d72f4e7b9022b7a83c673334d7967981191d2d98f9c57dc97b4caae1"
OR Files sha256 equals "68d793940c28ddff6670be703690dfdf9e77315970c42c4af40ca7261a8570fa"
OR Files sha256 equals "9da0f5ca7c8eab693d090ae759275b9db4ca5acdbcfe4a63d3871e0b17367463"
OR Files sha256 equals "006fc6623fbb961084243cfc327c885f3c57f2eba8ee05fbc4e93e5358778c85"
Hashes de arquivo para versões do log4j 2.x originadas no GitHub.
Identificar sistemas com versões vulneráveis do log4j instaladas pelo nome do arquivo. Por exemplo: files e HostInfo hostname, onde nome de arquivos contém Log4J.Os nomes de arquivo podem ser diferentes entre as versões ou se o Log4J for entregue por meio de uma solução de fornecedor.
Identificar tentativas de comunicação de saída para domínios de texto explicativo conhecidos.
Identificar indicadores de comprometimento (IOC compatível) associados a cargas de exploração.
Nota: Em Linux,.JAR os arquivos são excluídos do hash de arquivo por padrão. Para proporcionar uma visibilidade precisa em seu ambiente, remova.JAR o hash do arquivode políticas do EDR, Ignore as extensões em Linux configurações. Essa alteração não exige que os sistemas arquivo sejam completamente recodificados.
- McAfee Siem
A McAfee Enterprise lançou a versão 4.1.0 do pacote de conteúdo de exploração, que agora está disponível para download no servidor de regras. Este pacote de conteúdo contém um novo alarme intitulado "exploração-possível exploração de Log4Shell". Esse alarme examina os campos de URL e User_Agent da cadeia de caracteres específicajndi para indicar uma possível tentativa de exploração.
Para obter mais informações sobre o SIEM exploração Content Pack 4.1.0 , consulte: KB85403-registrador-pacotes de conteúdo Siem para exploração.
NOTA: O conteúdo mencionado está disponível somente para logon feito no ServicePortal users. Para exibir o conteúdo, clique no link e efetue login quando solicitado.
Inteligência contra ameaças:
- MVISION insights:
Campanha de ameaças: Log4Shell-uma vulnerabilidade de Log4J-CVE-2021-44228 (disponível na visualização do insights)
