在Black Hat USA上展示了一个Log4Shell去混淆工具,该工具承诺简单、快速的有效负载分析,而不会出现“严重副作用”的风险。AppSec测试平台Oxeye的Daniel Abeles和Ron Vider8月10日在拉斯维加斯的阿森纳赛道上演示了开源的“ Ox4Shell ”实用程序。
Abeles认为,该工具提供了强大的组合优势,这些优势在Apache Log4j中的关键漏洞的其他去混淆器中缺乏,Java日志记录实用程序如此广泛分布,以至于“Log4Shell”缺陷(CVE-2021-44228)影响了数亿台设备.
“我自己在 Web 应用程序防火墙 [WAF] 上工作了几年,所以我个人可以理解为理解混淆有效载荷的真正意图以及它对安全团队带来的挑战所付出的努力,”他提前说他的介绍。
研究人员找不到像Ox4Shell(一个简单的Python脚本)一样易于使用的任何其他工具,但不需要用户在此过程中运行任何易受攻击的代码。
“我们模拟了并行Java代码可以执行的大多数转换,而没有运行易受攻击的Java代码的风险,”Abeles说。“在将此类工具集成到生产管道(例如WAF规则)中时,这一点尤其重要,以确保没有严重的副作用。”
由于混淆的有效载荷“对大多数安全工程师来说是令人生畏的”,而对于最有经验的人来说也是“耗时且乏味的”,Oxeye开始着手“为安全社区提供一种精简、简单的方法来对Log4Shell有效载荷进行去混淆处理”。
Abeles表示,AppSec工程师的需求决定了该工具的规范,而“用于测试Ox4Shell的公共模糊有效负载”的稀缺性促使他们“与多个应用程序安全团队合作收集各种有效负载,因此我们可以确保将错误降至最低负和误报率”。
这个过程随着Ox4Shell于2022年1月的发布而达到高潮,即Log4Shell浮出水面一个月后。
该工具通过将混淆的有效载荷(包括base64命令)“解码为直观易读的形式”来对抗威胁参与者规避WAF规则和复杂化漏洞利用分析的企图,从而揭示其“真实功能”并“显着”减少安全团队的分析时间。
Oxeye表示,Ox4Shell使防御者能够遵守攻击者可以通过Log4Shell滥用的查找功能,通过向目标机器提供他们可以控制的模拟数据来识别目标机器。
mock.json文件用于将常用值插入到查找函数中。“例如,如果负载包含值${env:HOME},我们可以用自定义模拟值替换它,”读取Ox4Shell GitHub页面。
这种“查找模拟”意味着用户可以“用模拟数据替换某些数据查找,因此最终结果看起来更真实,更适合使用它的特定组织”,Abeles说。
美国政府最近的一份报告警告说,易受攻击的 Log4j 实例可能会持续“十年或更长时间”。随着Ox4Shell在未来一段时间内仍然有用,Oxeye计划扩展该工具的功能,以根据社区反馈模拟更多的查找功能。
评论已关闭。