Log4j2漏洞正被勒索、挖礦、僵尸網絡廣泛利用

近日以來，奇安信安全服務團隊陸續接到10多起利用Apache Log4j2漏洞勒索攻擊的應急響應需求。

同時，奇安信司南平臺監測到，Mirai、Muhstik等多個僵尸網絡家族，以及Minerd、HSMiner、HideShadowMiner, BlueHero等多個挖礦病毒家族正利用此漏洞進行擴散。鑒于Apache Log4j2漏洞影響面巨大，建議各廠商加強對僵尸網絡、挖礦病毒、勒索軟件相關活動的監測與防御。

Log4j2漏洞屢被勒索攻擊、僵尸網絡、挖礦病毒等利用

根據司南平臺監測發現，針對Apache Log4j2漏洞，第一次攻擊事件高峰出現在12月10日凌晨0點左右，隨后在上午9點、12點再次出現兩次攻擊高峰。其攻擊源主要分布在荷蘭、中國、德國、美國、奧地利等國家地區。目前，新西蘭計算機緊急響應中心（CERT）、美國國家安全局、德國電信CERT、中國國家互聯網應急中心（CERT/CC）等多國機構相繼發出警告。

圖 全球惡意掃描源分布圖

奇安信發現， Log4j2漏洞已被多個僵尸網絡家族利用， 12月11日10點25分， Mirai家族利用Apache Log4j2漏洞進行樣本傳播。隨后于10點58分，Muhstik家族也開始利用此漏洞進行傳播。同時，Minerd、LifeCalendarWorm、HSMiner、BigWolf、SnakeMiner、HideShadowMiner、BlueHero等數十個挖礦病毒家族也在利用該漏洞從事挖礦活動。

截至12月13日，奇安信安服中心收到10多起利用該漏洞進行勒索攻擊的應急響應需求。奇安信專家預計， 由于Apache Log4j2漏洞影響面大，利用門檻低，未來幾天會有更多的僵尸網絡、挖礦病毒、勒索軟件等利用此漏洞發起攻擊，其危害不容忽視。

圖 Mirai家族利用Apache Log4j2漏洞的攻擊流量

奇安信安全專家認為，Log4j作為日志組件，位于軟件供應關系的較底層。因此供應鏈對此漏洞的放大效應將逐漸顯現，相關廠商、用戶需密切關注其威脅發展情況。

圖 奇安信開源衛士評估數萬組件依賴于Log4j2

奇安信推出“一攬子”Log4j2漏洞防護方案

在監測到該漏洞出現在野利用行為之后，奇安信第一時間啟動了應急響應工作，并迅速推出了“一攬子”Log4j2漏洞防護方案，從底層代碼、網絡傳輸到上層應用，全面覆蓋漏洞的發現、監測、檢測和響應處置等全生命周期。

在漏洞發現方面，奇安信開源衛士、漏洞掃描系統、網神自動化滲透測試系統（加特林）、天問軟件供應鏈安全分析系統等均已支持針對Log4j2漏洞的精準發現，可幫助用戶檢查自身系統是否受該漏洞影響。相關用戶可將開源衛士和網神自動化滲透測試系統升級至最新版本、在線或者離線使用最新的天問軟件供應鏈安全分析系統以及下載并安裝漏洞掃描系統最新特征庫。

與此同時，補天漏洞響應平臺已經收到大量關于該漏洞的報告，并開展專項眾測活動，讓補天平臺眾多白帽子為客戶提供及時專業的安全漏洞檢測服務。

在漏洞態勢監測方面，奇安信網絡空間測繪系統（Hunter）已開展每日全網測繪，并對數據做持續跟蹤分析，及時匯總全網Log4j2漏洞的態勢情況。截至12月10日，Hunter已發現多達數百萬個受該漏洞影響的公網資產，其中北京市影響最為嚴重。

在漏洞利用檢測方面，奇安信新一代安全感知系統（天眼）、態勢感知與安全運營平臺（NGSOC）、監管類態勢感知平臺、網神數據傳感器（探針）等產品均已支持對Log4j2漏洞攻擊行為的檢測，相關用戶可將規則庫升級至最新版本并啟用對應規則即可。

為提升針對該漏洞攻擊行為的檢測效率和準確率，奇安信威脅情報中心于12月12日發布了相關威脅情報工具包，包含大部分攻擊源IP、URL、惡意程序特征等，可點擊閱讀原文查看，目前威脅情報仍在持續更新中。

在響應處置方面，奇安信新一代智慧防火墻、天擎終端安全管理系統、椒圖服務器安全管理系統、統一服務器安全管理平臺、網站應用安全云防護系統（安域）等均已支持針對Log4j2漏洞攻擊行為的攔截，相關用戶可將防護規則升級至最新版本。椒圖用戶可直接安裝RASP插件，無需更新規則也可實現該漏洞攻擊行為的攔截；對于無法安裝RASP插件的用戶，可通過安裝WAF插件，在Agent管理-功能設置-虛擬補丁功能開啟監控或者防護模式。