技术报告

本报告由国家互联网应急中心（CNCERT）与奇安信科技集团股份有限公司（奇安信）共同发布。近期，CNCERT和奇安信共同监测发现一个新的且在互联网上快速传播的DDoS僵尸网络，通过跟踪监测发现其每日上线境内肉鸡数（以IP数计算）最多已超过2万、且每日会针对多个攻击目标发起攻击，给网络空间带来较大威胁。该僵尸网络为Mirai变种，包括针对mips、arm、x86等CPU架构的样本，在近2个月的时间中，我们捕获的该Mirai变种样本至少迭代过4个版本，通信协议都与Mirai基本一致，传播方式当前主要为Telnet口令爆破，历史上曾利用Nday漏洞进行传播。

2022年5月23日，fastjson 官方发布安全通报，fastjson <= 1.2.80 存在反序列化任意代码执行漏洞，漏洞等级为高危。截止2022年5月24日，我们发现Maven Central中的9,902个Java包依赖于包含漏洞的fastjson版本，这意味着Maven Central上约2.13%的软件包至少有一个版本受到此漏洞威胁。如果说去年底爆出log4j远程代码执行漏洞是一颗大型核弹的话（影响了约17,000个Java包，占比约4%），fastjson的漏洞影响则不亚于一颗中型核弹。

近日，亚马逊旗下网站排名服务网站Alexa.com于2022年5月1日宣布正式停用。 域名排名在内容研究、竞争 […]

2021年12月25日，奇安信技术研究院星图实验室自研的天问软件供应链安全分析平台Python供应链威胁监测模块全网率先捕获到一个以Discord为攻击目标的恶意Python包，并在后续两周陆续监测到10个攻击Discord的包，在发现这些恶意包之后，我们第一时间向PyPI官方反馈并移除了这些恶意包。

奇安信技术研究院星图实验室利用自研的天问软件供应链安全分析平台，发现了用于传播SysJoker恶意软件的两个npm包mos-sass-loader和css-resources-loader，两个包均由同一个账号上传至npm公开仓库中，最早出现时间为2021年10月7日。

2021年12月13日，天问平台推出了log4j2远程代码执行漏洞（CVE-2021-44228）纯离线检测工具：“天蚕3.0-log4j2漏洞离线专查版”。该专查工具所有分析检测过程全部在被测主机上离线完成，不需要将任何信息回传服务器，解决了敏感信息泄露的担忧。

自2021年12月9日Log4j2严重漏洞爆发以来，奇安信司南平台已监测到至少6个挖矿家族利用此漏洞传播，近3天受害客户端数量持续增加。

Log4j2漏洞影响到VMware旗下多款产品，奇安信技术研究院第一时间对相关产品漏洞进行了复现，并对网络资产暴露面进行了评估。Log4j2漏洞基于供应链已蔓延影响至虚拟化等网络基础设施，厂商和用户需密切关注。

自2021年12月9日Apache Log4j2组件高危漏洞爆发以来，奇安信司南平台对事件进行了持续的实时追踪，并于12月11日10点开始，监测到Mirai、Muhstik等多个僵尸网络家族利用此漏洞进行传播。

奇安信天问平台推出业界首个Apache Log4j远程代码执行漏洞（CVE-2021-44228）的一键排查解决方案，支持在线和离线两种检测模式，帮助广大用户快速判断自身在用软件系统是否受该漏洞影响。