綠盟仿真靶場助力Apache Log4j2自動化攻防演練

Apache Log4j2高危漏洞一經發布，很多單位都在第一時間啟動應急響應進行修復。但因Apache Log的應用極其廣泛，其危害還在持續發酵過程中。綠盟科技使用網絡空間安全仿真平臺對Apache Log4j2漏洞環境進行了仿真，并在此環境上復現了漏洞的利用及修復方法，基于此演練場景可提升網絡安全人員針對此漏洞的應急水平。綠盟科技一直致力于將網絡安全前沿技術和安全事件提煉成仿真場景，通過場景式演練的方式提高網絡安全人員的攻防水平和應急響應能力。

Apache Log4j2漏洞應急演練場景介紹

Apache Log4j2漏洞仿真場景模擬典型企業網絡架構，該仿真環境包含DMZ服務區、日志服務區、內網辦公區和廠區生產部四個區域。其中DMZ服務區，包含Web服務器（存在Apache Log4j2漏洞）、mail服務器、文件服務器；日志服務區部署ELK企業級日志分析系統；內網辦公區包含銷售部、管理部、經理部、財務部等辦公終端；廠區生產部包含視頻服務器、工控服務器等設備。

攻擊方利用log4j2漏洞取得DMZ區Web服務器的權限，并借助Web服務器作為跳板對企業內網進行滲透。進入內網后，首先通過魚叉攻擊收集內部信息，然后對各個業務終端進行逐步滲透，最終取得廠區工控服務器的權限，達到控制生產系統的目的。防守方通過安全設備報警檢測到安全事件，及時在安全設備上設置安全策略阻斷攻擊。通過日志分析在系統內部發現漏洞及后門并進行清除加固，最后將生產系統進行恢復。

應急演練場景拓撲展示

自定義構建網絡拓撲

其中涉及到Log4j2漏洞利用階段步驟如下：

攻擊方-Log4j2漏洞利用

信息搜集：攻擊方對目標網絡進行掃描，發現一臺web服務器存在log4j任意代碼執行漏洞。

工具制作：制作針對于log4j漏洞利用所需的工具，并開啟后臺監聽服務；

攻擊滲透：針對具有Log4j2漏洞的web服務器構造惡意payload并發起攻擊。攻擊成功后可看到靶機的文件目錄。

防守方-Log4j2漏洞防守

檢測階段：防守方通過環境中的安全設備采集到流量信息和告警日志，并結合仿真平臺中態勢感知引擎檢測到Log4j2漏洞利用行為。

遏制階段：更新網絡設備和網絡安全設備策略阻斷正在進行中的攻擊行為。

根除階段：清理攻擊者留下的后門程序，并安裝最新版補丁包修復Log4j2漏洞。

以上演練場景由綠盟網絡空間安全仿真平臺來進行搭建，平臺可為此演練提供半自動化的過程輔助及全自動化場景控制，使用戶有更多精力開展關鍵攻擊階段的攻防演練。平臺通過虛擬化、虛實結合、安全編排、行為及流量仿真、效果評估、智慧安全知識圖譜等技術構建各類應用場景，并對場景中生成的用戶行為和攻防行為進行評估分析。滿足用戶進行人才培養、安全競賽、應急演練、實戰對抗、系統測試、技術研究及效能評估的需求。