ESCU Alert - Java Outbound Connection Analysis

چرا این هشدار صادر می‌شود؟

این قانون فرآیندهای جاوا (java.exe یا javaw.exe) را شناسایی می‌کند که اقدام به برقراری اتصال شبکه خروجی روی پورت‌های پیش‌فرض سرویس‌های دایرکتوری و RMI می‌کنند. پورت‌های مورد نظر شامل 389 (LDAP)، 636 (LDAPS)، 1389 (RMI/LDAP) و 1099 (RMI Registry) هستند. این رفتار یکی از نشانه‌های اصلی بهره‌برداری از آسیب‌پذیری‌های جدی مانند Log4Shell است، جایی که مهاجم برنامه جاوا را مجبور می‌کند تا به سرور مخرب خود متصل شده و کد مخرب را دانلود و اجرا کند.

Process: java.exe, javaw.exe
Destination Ports: 389, 636, 1389, 1099
Technique: Exploitation for Client Execution (T1203)

در حملات JNDI Injection، برنامه آسیب‌پذیر سعی می‌کند یک شیء جاوا را از طریق پروتکل‌های LDAP یا RMI از سرور مهاجم فراخوانی کند.

دسته‌بندی سناریوهای مشکوک

سناریوهای پرخطر

بهره‌برداری از Log4Shell: اتصال سرور وب عمومی (مانند Tomcat یا WebLogic) به یک آدرس IP ناشناس در اینترنت روی پورت 1389 یا 389.
ارتباط با سرور C2: برقراری ارتباط با سرورهای شناخته شده مخرب بلافاصله پس از دریافت یک درخواست وب مشکوک.
دانلود کلاس مخرب: تلاش برای دریافت فایل .class از طریق پروتکل‌های نامبرده.

سناریوهای متوسط

پیکربندی نادرست: برنامه‌های کاربردی که سعی می‌کنند به سرویس‌های دایرکتوری خارجی (مانند Google LDAP) متصل شوند بدون اینکه از کانال‌های امن یا VPN استفاده کنند.
ترافیک داخلی غیرمعمول: اتصال یک سرور غیرمرتبط به دامین کنترلر روی پورت‌های RMI که معمولاً استفاده نمی‌شود.

سناریوهای کم‌خطر (مثبت کاذب)

احراز هویت قانونی: برنامه‌های جاوا که به صورت قانونی برای احراز هویت کاربران به دامین کنترلرهای داخلی (AD) متصل می‌شوند.
ابزارهای مدیریتی: ابزارهای مانیتورینگ جاوا (JMX) که از پورت 1099 برای مدیریت استفاده می‌کنند (اگر در شبکه داخلی باشد).

ارزیابی خطر و تریاژ

برای تشخیص واقعی بودن تهدید، موارد زیر را بررسی کنید:

نشانه قطعی خطر: اتصال یک سرور وب عمومی به یک IP اینترنتی روی پورت 1389 یا 389، به ویژه اگر با دستورات مشکوک در لاگ‌های وب همراه باشد.

بررسی مقصد: آیا IP مقصد داخلی است یا خارجی؟ آیا متعلق به سازمان است یا ناشناس؟
بررسی والد: برنامه جاوا توسط چه سرویسی اجرا شده است؟ (Tomcat, Jenkins, WebLogic).
لاگ‌های وب: آیا در بازه زمانی اتصال، درخواست‌های HTTP حاوی رشته‌های ${jndi:ldap://...} دیده شده است؟

الزامات داده و مدل‌ها

اطلاعات مورد نیاز

Sysmon Event ID 1 (Process Creation)
Sysmon Event ID 3 (Network Connection)
لاگ‌های فایروال

دیتامدل‌های مورد استفاده

Endpoint.Processes
Network_Traffic

فیلدهای کلیدی جهت بررسی

هنگام تحلیل لاگ‌ها در Splunk، این فیلدها حیاتی هستند:

process_name (java.exe)

dest_ip (Connection Target)

dest_port (389, 636, 1389)

parent_process_name

dest (Host)