綠盟模擬靶場助力Apache Log4j2自動化攻防演練

Apache Log4j2高危漏洞一經發布，很多單位都在第一時間啟動應急響應進行修復。但因Apache Log的應用極其廣泛，其危害還在持續發酵過程中。綠盟科技使用網路空間安全模擬平臺對Apache Log4j2漏洞環境進行了模擬，並在此環境上覆現了漏洞的利用及修復方法，基於此演練場景可提升網路安全人員針對此漏洞的應急水平。綠盟科技一直致力於將網路安全前沿技術和安全事件提煉成模擬場景，透過場景式演練的方式提高網路安全人員的攻防水平和應急響應能力。

【Apache Log4j2漏洞應急演練場景介紹】

Apache Log4j2漏洞模擬場景模擬典型企業網路架構，該模擬環境包含DMZ服務區、日誌服務區、內網辦公區和廠區生產部四個區域。其中DMZ服務區，包含Web伺服器（存在Apache Log4j2漏洞）、mail伺服器、檔案伺服器；日誌服務區部署ELK企業級日誌分析系統；內網辦公區包含銷售部、管理部、經理部、財務部等辦公終端；廠區生產部包含影片伺服器、工控伺服器等裝置。

攻擊方利用log4j2漏洞取得DMZ區Web伺服器的許可權，並藉助Web伺服器作為跳板對企業內網進行滲透。進入內網後，首先透過魚叉攻擊收集內部資訊，然後對各個業務終端進行逐步滲透，最終取得廠區工控伺服器的許可權，達到控制生產系統的目的。防守方透過安全裝置報警檢測到安全事件，及時在安全裝置上設定安全策略阻斷攻擊。透過日誌分析在系統內部發現漏洞及後門並進行清除加固，最後將生產系統進行恢復。

 

應急演練場景拓撲展示

 

自定義構建網路拓撲

 其中涉及到Log4j2漏洞利用階段步驟如下：

【攻擊方-Log4j2漏洞利用】

資訊蒐集：攻擊方對目標網路進行掃描，發現一臺web伺服器存在log4j任意程式碼執行漏洞。

 

工具製作：製作針對於log4j漏洞利用所需的工具，並開啟後臺監聽服務；

攻擊滲透：針對具有Log4j2漏洞的web伺服器構造惡意payload併發起攻擊。攻擊成功後可看到靶機的檔案目錄。

 

【防守方-Log4j2漏洞防守】

檢測階段：防守方透過環境中的安全裝置採集到流量資訊和告警日誌，並結合模擬平臺中態勢感知引擎檢測到Log4j2漏洞利用行為。

 

遏制階段：更新網路裝置和網路安全裝置策略阻斷正在進行中的攻擊行為。

 

根除階段：清理攻擊者留下的後門程式，並安裝最新版補丁包修復Log4j2漏洞。

以上演練場景由綠盟網路空間安全模擬平臺來進行搭建，平臺可為此演練提供半自動化的過程輔助及全自動化場景控制，使使用者有更多精力開展關鍵攻擊階段的攻防演練。平臺透過虛擬化、虛實結合、安全編排、行為及流量模擬、效果評估、智慧安全知識圖譜等技術構建各類應用場景，並對場景中生成的使用者行為和攻防行為進行評估分析。滿足使用者進行人才培養、安全競賽、應急演練、實戰對抗、系統測試、技術研究及效能評估的需求。