Die Grundlagen eines Log4j-Angriffs: Auch das Ausnutzen der Log4j-Lücke hinterlässt Spuren im Datenverkehr. Ein Angreifer missbraucht das normale Vorgehen der Log4j-Protokollierungsbibliothek, Anfragen auf ein System zu protokollieren, für seinen Zweck, um ausführbaren bösartigen Code zunächst in den Webserver zu implementieren. Bei jeder Anfrage von einem Windows-System auf einen Webserver liest die Log4j-Funktion auf dem angefragten Webserver eine Variable, kann sie auflösen und den so gewonnen Wert als Objekt im Speicher der Login-Protokolldatei einfügen. Angreifer können in dem dazugehörigen String anstelle des Nutzernamens einen eigenen Java Naming and Directory Interface (JNDI) Lookup in die Log-Datei einfügen, wobei sie auf einen Server unter ihrer Kontrolle zugreift. Der Angreifer leitet dafür die Antwort des angefragten Systems auf seinen bösartigen Command-and-Control-Server um und schickt im Gegenzug als Auflösen der Variable einen ausführbaren Payload – einen Code und damit Malware – auf das angefragte System. Die Kommunikation zwischen anfragendem System, angefragtem Webserver und bösartigem C&C-Server ist für eine NDR-Analyse sichtbar.
(Bild: Bitdefender Labs)
1/4 Zurück zum Artikel
:quality(80)/p7i.vogel.de/wcms/f3/91/f3916b1e75ac3af8c1027ca5115e6e77/0110560420.jpeg "Hans Szymanski übernimmt interimsweise die Geschicke von Estos. (Bild: Securepoint)")
:quality(80)/p7i.vogel.de/wcms/09/94/0994307978b879d676bc7710451a3054/0110061064.jpeg "Die SaaS-Plattform SolarWinds Observability steht ab sofort mehr Kunden rund um den Globus zur Verfügung. (Bild: © – jayzynism – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/ec/92/ec92249724e4a1c3194c9181d3f4d05a/0110319520.jpeg "In den EU-Mitgliedstaaten sind bislang nur 22 Prozent Frauen in der Technologie-Branche tätig. (Bild: Roman - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/70/65/7065cec0bd03f566ef9bd7dbee649301/0110509833.jpeg "Wenn Computer menschliches Verhalten nachahmen, ist eine Regulierung entsprechender Systeme unerlässlich (Bild: Jan – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/ae/e6/aee68366df3c69fe3aea7f82d33ee905/0110325878.jpeg "Unternehmen entscheiden sich immer noch lieber für eine männliche ITK-Fachkraft. (Bild: eyetronic - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/3b/53/3b53421a8042d049f880989064e6cdb3/0110482463.jpeg "Frank Rademacher, Gruppenleiter Montage Industriemaschinen, Vemag Maschinenbau: „Für uns ist die Einführung der Vier-Tage-Woche eine „Win-Win-Situation“. Die Mitarbeiter*innen sind zufriedener und die Produktivität steigt.“ (Bild: Vemag)")
:quality(80)/p7i.vogel.de/wcms/0e/76/0e7609a0fb18f576cdbef0f8b7f146c4/0110072273.jpeg "Cloud-basierte Technologien bergen neben schnellen Markteinführungen als auch Kontakten zu Kunden auch eine Reihe von Gefahren. (Bild: immimagery - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/cc/12/cc12a36b400c13c3001f76d5cba9f9b2/0109645617.jpeg "Data Lakes erlauben Sicherheitsteams den standardisierten Zugriff auf echte Bedrohungsdaten aus Cloud- und On-Premises-Quellen. (Bild: Andrea Danti - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/dc/b1/dcb1cb029222a9ade9475148c445a911/0109877684.jpeg "Wenn sich das eigene Cloud-Angebot über die Landesgrenzen verbreiten soll, ist der Boden dort zumeist nicht optinal vorbereitet, auch wenn Cloud-Computing luftig-leicht suggeriert. Doch mit welchen Hilfsmittel sich so manches Paket bewegen lässt, leitet PaaS-Anbieter Oreio aus der eigenen Praxiserfahrung ab. (Bild: frei lizenziert: Michael Schwarzenberger)")
:quality(80)/p7i.vogel.de/wcms/ef/52/ef52d18f764307c1a306b7b9907533b7/0110507774.jpeg "So knacken Hacker Passwörter und das kann man als Schutz dagegen tun. (Bild: jariyawat - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/fe/30/fe305febeec7cd972d48a5f64006c6bb/0110512458.jpeg "Ein Schutzzaun um das eigene Unternehmen: bei manchen ist dieser höher, bei anderen eher löchrig. NIS2 will zumindest für KRITIS-Unternehmen Einheitlichkeit schaffen. (Bild: SG- design - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/58/c8/58c8d6443a018e04baf62aaca4182902/0110507521.jpeg "(Bild: Lenovo)")
:quality(80)/p7i.vogel.de/wcms/9a/dd/9add561148d8790e3be0ae6cb8447972/0110267609.jpeg "(Bild: Panuwat-stock.adobe.com – (M) Carin Boehm)")
:quality(80)/p7i.vogel.de/wcms/8f/41/8f41293f66203a10c0195efaf904f001/0109732739.jpeg "(Bild: 2019 Lubo Ivanko/Shutterstock. No use without permission.)")
:quality(80)/p7i.vogel.de/wcms/06/1c/061cbd6222dae4f1f04fe31825592b02/0109770894.jpeg "Das Firmengelände der Erich Scheerer GmbH bietet mit mehr als 90.000 Quadratmeter Fläche genug Platz für das komplette Holzsortiment. (Bild: AGFEO)")
:quality(80)/p7i.vogel.de/wcms/cd/36/cd36aef5c7ba06a18ce3acae38dcb84d/0104986845.jpeg "Die Grundlagen eines Log4j-Angriffs: Auch das Ausnutzen der Log4j-Lücke hinterlässt Spuren im Datenverkehr. Ein Angreifer missbraucht das normale Vorgehen der Log4j-Protokollierungsbibliothek, Anfragen auf ein System zu protokollieren, für seinen Zweck, um ausführbaren bösartigen Code zunächst in den Webserver zu implementieren. Bei jeder Anfrage von einem Windows-System auf einen Webserver liest die Log4j-Funktion auf dem angefragten Webserver eine Variable, kann sie auflösen und den so gewonnen Wert als Objekt im Speicher der Login-Protokolldatei einfügen. Angreifer können in dem dazugehörigen String anstelle des Nutzernamens einen eigenen Java Naming and Directory Interface (JNDI) Lookup in die Log-Datei einfügen, wobei sie auf einen Server unter ihrer Kontrolle zugreift. Der Angreifer leitet dafür die Antwort des angefragten Systems auf seinen bösartigen Command-and-Control-Server um und schickt im Gegenzug als Auflösen der Variable einen ausführbaren Payload – einen Code und damit Malware – auf das angefragte System. Die Kommunikation zwischen anfragendem System, angefragtem Webserver und bösartigem C&C-Server ist für eine NDR-Analyse sichtbar. (Bild: Bitdefender Labs)")
