Log4j2余毒,BillGates木馬正借助漏洞大規模快速傳播
前言
近期,微步在線研究響應中心通過蜜罐捕獲到 BillGates 家族的木馬樣本,該木馬通過最近爆發的 Log4j2 漏洞傳播。Log4j2 這個組件在 Java 領域被廣泛使用,該組件涉及范圍廣,利用門檻低,危害極大,所以該漏洞帶來的影響可謂是重量級的。
BillGates 是 Linux x86僵尸網絡的常見家族木馬,該家族木馬出現后便快速占領互聯網,嚴重影響互聯網的安全健康發展,威脅廣大網民安全沖浪,損耗互聯網及設備資源。
事件起因
12月10日凌晨,Apache 開源項目 Log4j2 的遠程代碼執行漏洞細節被公開,通常在漏洞公開的3-7天里,是漏洞爆發利用的高峰。微步在線研究響應中心的安全研究人員分析蜜罐中捕獲到的相關攻擊數據發現,攻擊量在短短數日內呈現大幅上升趨勢。
蜜罐Log4j攻擊數據
Log4j2 漏洞是由它的 lookup 功能造成的,該功能允許開發者通過協議去讀取環境的配置,由于未對輸入進行嚴格的判斷,從而造成漏洞的發生。攻擊的網絡數據一般會包含有 “jndi” 字符。
利用 base64 解密相關數據可得出相關地址。
告警排查分析
微步終端威脅檢測與響應平臺 OneEDR 主機頁面出現告警,該告警提示木馬進程、net-tools、lsof 等應用完整性被破壞。Net-tools 構成了 Linux 網絡的基礎,可用于列出系統上所有的網絡套接字連接情況,包括 TCP、UDP 以及 unix 套接字,另外它還能列出處于監聽狀態(即等待接入請求)的套接字;lsof(List Open Files) 用于查看你進程開打的文件,打開文件的進程,進程打開的端口(TCP、UDP),找回/恢復刪除的文件。
點擊10.53.8.196主機日志頁面,發現有文件下載、執行的行為文件 aaa 的 MD5 為 c8ba8bcfd8f068a19b89f112e80a9e56。
點擊其中一種可疑告警信息查看詳情,發現 /tmp/aaa 加載了 xpacket.ko。
OneEDR 告警信息提示 “可執行文件路徑異常”,這是一個利用 Linux 文件特性的以“.”為前綴即可隱藏的文件,實則是一個障眼法。
木馬會復制自身為 /usr/bin/bsd-port/getty ,為了鞏固木馬自身在宿主機的地位,getty 還劫持了 lsof、ps、netstat 等命令,這提高了木馬被清理的難度。
緊接著就觸發了告警,名為 aaa 的文件被 OneEDR 判定為 BillGates 僵尸網絡木馬。
樣本分析
以下面樣本作為示例進行分析,基本信息如下:
SHA256 a4b278170b0cb798ec930938b5bd45bbf12370a1ccb31a2bee6b2c406d881df6 MD5 c8ba8bcfd8f068a19b89f112e80a9e56 文件格式 ELF 32-bit LSB executable, Intel 80386, version 1 (SYSV), statically linked, for GNU/Linux 2.2.5, not stripped 文件大小 1223123 文件名稱 aaa |
木馬執行后掛起,睡眠時間為0x7D0(2000ms),刪除升級臨時文件,從/etc/resolv.conf 讀取 DNS 緩存信息,從 conf.n 讀取配置信息,從 cmd.n 讀取正在執行的情況,獲取程序運行情況。
木馬里面定義了 TCP-SYN Flood、UDP Flood、CC攻擊、DNS 放大等多種攻擊方式。
Ikdfu94 函數負責調用解密模塊,對樣本里面加密的 C2 進行解密。
利用 edb 進行動態調試,執行到0x8077abf地址時 ,可以看到函數 Ikdfu94 已經把樣本里面加密的C2 給成功解密出來 C2: 300gsyn.it:25009 。
域名 300gsyn.it 解析的 IP 為 154.82.110.5 ,待樣本完整運行后,會收集本地信息,包括時間、系統版本、文件目錄信息等,收集完成后,進行上傳信息給 C2 服務器。
微步在線研究響應中心在對蜜罐相關網絡數據分析后,通過微步大數據平臺,已經收錄大量相關資產,主機威脅檢測與響應平臺 OneEDR 產品已支持對此類攻擊的檢測。
總結與思考
5.1 事件總結
本次事件是通過 OneEDR 在收集終端的進程、網絡、文件等系統行為中發現的,通過 OneEDR 的智能關聯功能,可了解到安全事件的上下文以及主機、賬號、進程等信息,通過“進程鏈”快速掌握事件的影響范圍以及事件的概括,從而精準溯源。
OneEDR 是一款專注于主機入侵檢測的新型終端防護平臺,通過利用威脅情報、行為分析、智能事件聚合、機器學習等技術手段,實現對主機入侵的精準發現,發現已知與未知的威脅。充分利用 ATT&CK 對攻擊全鏈路進行多點布控,全面定位入侵行為路徑。
5.2 事件思考
1.隨著近幾年5G物聯網的迅速發展,物聯網設備數量呈幾何增長,物聯網設備已經成為主要的攻擊目標。
2.隨著物聯網設備的不斷增多,使用 SSH 暴力破解攻擊會也越來越多,這會讓僵尸網絡迅速增加自己的 bot;與此同時,黑客租用的是國外匿名廉價的VPS,它不但成本低,而且溯源難度較高,所以,以后僵尸網絡只會越來越多。
3.目前的 IOT 僵尸網絡以 DDoS 和 挖礦的木馬為主。
5.3 處置建議
1.Kill進程 /usr/bin/.ssh 、/tmp/aaa 、/usr/bin/bsd-port/getty
2.刪除以下文件
/usr/bin/.ssh
/tmp/aaa
/usr/bin/bsd-port/
/bin/ps
/bin/netstat
/usr/bin/netstat
/usr/sbin/lsof
/tmp/gates.lod
/tmp/moni.lod
/etc/init.d/selinux
/etc/init.d/DbSecuritySpt
/etc/rc1.d/S97DbSecuritySpt
/etc/rc1.d/S99selinux
/etc/rc2.d/S97DbSecuritySpt
/etc/rc2.d/S99selinux
/etc/rc3.d/S97DbSecuritySpt
/etc/rc3.d/S99selinux
/etc/rc4.d/S97DbSecuritySpt
/etc/rc4.d/S99selinux
/etc/rc5.d/S97DbSecuritySpt
/etc/rc5.d/S99selinux
3.恢復系統文件
mv /usr/bin/dpkgd/* /bin/
4.自查 Log4j 相關應用是否在 Log4j2.x <= 2.14.1 范圍內,若是,請使用以下緊急緩解措施:
(1)修改 jvm 參數 -Dlog4j2.formatMsgNoLookups=true;
(2)修改配置 log4j2.formatMsgNoLookups=True;
(3)將系統環境變量 FORMAT_MESSAGES_PATTERN_DISABLE_LOOKUPS 設置為 true。
