01
事件背景
北京时间2021年12月9日深夜,Apache Log4j2被曝出存在远程代码执行漏洞。攻击者可利用这个被标注为“高危”的漏洞直接构造恶意请求,触发远程执行任意代码。
Log4j2作为基础组件被用在诸多Java框架和Java项目中,影响了数以百万计的应用,随着这一高危漏洞公开,那一夜“史诗级漏洞公开”的消息刷爆朋友圈,安全圈多少人立刻进入“战斗防御状态”,紧急应对、彻夜未眠。
面对本次高危漏洞公开事件,包括知道创宇在内的国内各大安全厂商纷纷在第一时间更新漏洞安全监测、提示用户修复漏洞并提供漏洞应急服务。
另外,知道创宇的创宇蜜罐团队在重点防范Log4j2远程代码执行漏洞的基础上,还聚焦在更纵深的关键点——
Apache Log4j2漏洞威胁性究竟有多严重?
攻击者们到底想利用这一漏洞来做些什么?
他们的目标是什么?
是否可以为我们的系统防御提供更多信息?
通过自漏洞爆发以来的数据跟踪,接下来创宇蜜罐会带给您一些参考。
02
漏洞跟踪
自公布开始,被称为“史诗级漏洞”、“核d级漏洞”的Apache Log4j2远程代码执行漏洞威胁在全球范围内蔓延开来,包括Apple、Amazon、CloudFlare等诸多世界顶尖公司也在“受害者”名单之中,该漏洞的巨大影响显然并非捕风捉影。
通过云蜜罐威胁情报中心捕获到的来自全网范围针对Apache Log4j2漏洞的攻击数据分析,在该漏洞攻击爆发开始后,从国内受攻击行业分布来看,教育与科研行业(27%)、金融行业(21%)、政府部门(15%)、医疗行业(6%)等均为受漏洞影响的主要“受害者”。
创宇蜜罐对所捕获攻击的攻击源地址地理位置分布进行汇总,攻击源分布于世界各地(图表呈现为捕获Log4j2攻击次数前八的国家)。
值得一提的是,创宇蜜罐通过对Log4j2漏洞爆发前后所捕获的攻击数据进行分析,对攻击威胁类型占比进行了汇总统计发现,由于Log4j2远程代码执行漏洞的公布,远程命令执行攻击一举成为攻击者中短时间内最为热门攻击手法,而原本常见的XSS攻击则一时间“受到冷落”。
03
攻击实例解析
创宇蜜罐从所捕获攻击数据中选取了利用Log4j2漏洞挖矿的攻击实例,简要进行解析。
创宇蜜罐捕获到了利用Log4j2漏洞的攻击行为,并获知攻击源IP;
创宇蜜罐利用自身强大的溯源功能对IP地理位置进行追溯,该IP的攻击记录情况如图所示;
通过查看创宇蜜罐的攻击日志中的payload信息,可以发现exp的利用链接是192的地址,指向java代码链接;
通过创宇蜜罐和创宇安全智脑的联动,发现该IP在创宇安全智脑的威胁情报中已标记为漏洞利用和挖矿;
创宇蜜罐团队判断攻击者通过java代码链接可以下载exp的代码,其中代码里包含的信息明显证明其是门罗币挖矿木马;
通过查看s.cmd文件和setup_moneroocean_miner.bat,可以获知攻击者利用的矿池、钱包地址、挖矿代码等重要信息。
创宇蜜罐多年来致力于将SaaS版蜜罐部署范围不断扩大、广布全网,灵敏感知内外网威胁,有效实现新型攻击发现,在本次Apache Log4j2远程代码执行漏洞跟踪中,实现全网范围攻击数据联动与攻击态势评估。
结合拥有200PB+数据积累的创宇安全智脑,能够敏锐感知网络空间的资产、系统、风险、威胁、事件等安全元素的动态变化,为云蜜罐威胁情报中心安全赋能,提供实时可信的威胁情报数据支撑。
如有创宇蜜罐业务需求
请扫码联系专家咨询
欢迎分享,转载请注明来源:内存溢出
微信扫一扫
支付宝扫一扫
评论列表(0条)