Testen, wie sich ein echter Cyberangriff tatsächlich im Unternehmensnetzwerk entwickeln könnte, statt hypothetischen Szenarien und Vorschlägen aus dem Lehrbuch nachgehen – das ist die Aufgabe von "Infection Monkey" [1], dem Open-Source-Sicherheits-Tool von Guardicore, einem Unternehmen von Akamai. Infection Monkey simuliert mittels einer Scheinmalware das Verhalten von Cyberkriminellen und liefert so echte Daten und Erkenntnisse über die aktuelle Sicherheitslage des Unternehmens.

Mit der Log4j-Simulation können Unternehmen ihre Schutzmechanismen speziell auf Log4Shell-Angriffe prüfen und besonders kritische Schwachstellen identifizieren. Dadurch lasse sich unter realen Bedingungen beurteilen, ob das Netzwerk bei einem echten Cyberangriff geschützt ist. Durch die Anwendung der Simulation könne ebenfalls festgestellt werden, ob eine bestimmte Software veraltet und dadurch besonders anfällig ist, ob das IDS noch funktioniert oder ob bereits jemand versucht hat, eine Schwachstelle im Sicherheitssystem auszunutzen.

Einige Versionen von Apache Log4j enthalten eine standardmäßig aktivierte Logging-Funktion namens "Message Lookup Substitution". Cyberkriminelle können diese Funktion ausnutzen, indem sie bestimmte spezielle Zeichenketten zum Zeitpunkt der Protokollierung durch dynamisch generierte Zeichenketten ersetzen. Wenn eine externe Person die Kontrolle über Protokollnachrichten oder Protokollnachrichtenparameter hat, kann sie einen beliebigen Code ausführen. Der Log4Shell-Exploiter simuliert einen Angriff, der diese Schwachstelle ausnutzt, um sich auf dem ausgewählten Gerät auszubreiten.

Die Services Apache Solr, Apache Tomcat und Logstash können dabei mit Infection Monkey auf Log4Shell-Schwachstellen getestet werden. Selbst wenn keiner dieser Services installiert ist, biete die Anwendung des Log4Shell-Exploiters eine Möglichkeit, die vorhandenen IDS/IPS- oder EDR-Lösungen zu testen.

dr

[1] https://www.akamai.com/blog/security/infection-monkey-new-log4shell-simulation