【司南追踪一】Log4j2漏洞已被多个僵尸网络家族利用

1 概述

自2021年12月9日Apache Log4j2组件高危漏洞爆发以来,奇安信司南平台对事件进行了持续的实时追踪,并于12月11日10点开始,监测到Mirai、Muhstik等多个僵尸网络家族利用此漏洞进行传播。鉴于Apache Log4j2漏洞影响面巨大,建议各厂商加强对僵尸网络、勒索软件相关活动的监测与防御。

2 Apache Log4j2漏洞事件发展回顾

奇安信司南平台监测发现,针对Apache Log4j2漏洞,第一次攻击事件高峰出现在12月10日凌晨0点左右,随后在上午9点、12点再次出现两次攻击高峰。

图1 第一次攻击高峰期事件案例(12月09日23:34)

图2 三次攻击事件高峰

截至2021年12月11日17:00,司南平台监测到的攻击源主要分布在荷兰、中国、德国、美国、奥地利等国家地区。

图3 全球恶意扫描源分布图

3 Log4j2漏洞被多个僵尸网络家族利用

2021年12月11日10点25分,司南平台监测到Mirai家族利用Apache Log4j2漏洞进行样本传播,相关的攻击流量示例如下:

图4 Mirai家族利用Apache Log4j2漏洞的攻击流量

随后于10点58分,监测到Muhstik家族也开始利用此漏洞进行传播,相关攻击流量如下:

图5 Muhstik家族利用Apache Log4j2漏洞的攻击流量

相关样本感染后会加入ssh公钥:

同时,还会尝试通过DoH解析TOR洋葱网络的中继节点relay.l33t-ppl.info,进而加入TOR后利用暗网站点完成后续功能通信:

由于Apache Log4j2漏洞影响面大,利用门槛低,我们预计未来几天会有更多的僵尸网络利用此漏洞发起攻击,奇安信司南平台将持续监测事件进展。

4 相关僵尸网络C2与样本

       截止目前,奇安信司南平台监测到的恶意样本相关URL和MD5列表如下:

URL

http://62.210.130[.]250/lh.sh

http://62.210.130[.]250/web/admin/x86

http://62.210.130[.]250/web/admin/x86_g

http://62.210.130[.]250/web/admin/x86_64

http://45.130.229[.]168:9999/Exploit.class

http://18.228.7[.]109/.log/log

http://18.228.7[.]109/.log/pty1

http://18.228.7[.]109/.log/pty2

http://18.228.7[.]109/.log/pty3

http://18.228.7[.]109/.log/pty4

http://18.228.7[.]109/.log/pty5

http://210.141.105[.]67:80/wp-content/themes/twentythirteen/m8

http://159.89.182[.]117/wp-content/themes/twentyseventeen/ldm

http://138.197.206[.]223/.x/xmra64

http://34.221.40[.]237/.x/pty1

http://34.221.40[.]237/.x/pty2

http://34.221.40[.]237/.x/pty3

http://34.221.40[.]237/.x/pty4

http://34.221.40[.]237/.x/pty5

http://34.221.40[.]237/.x/pty10 http://34.221.40[.]237/.x/pty11

MD5

cf2ce888781958e929be430de173a0f8

40e3b969906c1a3315e821a8461216bb

1348a00488a5b3097681b6463321d84c

6d275af23910c5a31b2d9684bbb9c6f3

95d9a068529dd2ea4bb4bef644f5c4f5

f14019c55e7ce19d93838a4b2f6aec12

23b317600f4d82ea58c6b39b6eb5a67c

0bb39ba78fc976edb9c26de1cecd60eb

81fbe69a36650504b88756074a36c183

d20478a01344026a0ecd60b0b29e9bc1

2615ebcd4c82d8822ce0b58725938cc6

7b72cf30ac42c20f0a14b0b87425c00a

e6a6ca7b1aeed5f4cc1e43fd6384230e

1fe52c0b0139660b2335dd7b7c12ea05

7d3f686801ae3f90f36aae17f7a66478

6f3d7c01c25decca73f8e7c7d998ff4a

1db40b7e18cf228169d2f5d73bf27ef7

9b22dc965582572dd8f07f452228b18b

ff171712ab8816f3d7600fe75bb18052

f5271f6b20fda39c213fd9579ad7e1fb

96364eef5116a5825e16b1c28eecb6b5