选择你喜欢的标签
我们会为你匹配适合你的网址导航

    确认 跳过

    跳过将删除所有初始化信息

    Log4j漏洞已经被用来组建botnet,针对Linux设备

    安全 2021-12-12 03:47

    声明:该文章来自(黑客技术)版权由原作者所有,K2OS渲染引擎提供网页加速服务。

    年末曝光的Log4j漏洞无疑可以算是今年的安全界大事了。作为专注于蜜罐和botnet检测跟踪的团队,我们自该漏洞被公开后就一直关注它会被哪些botnet利用。今早我们等来了首批答案,我们的Anglerfish和Apacket蜜罐先后捕获到2波利用Log4j漏洞组建botnet的攻击,快速的样本分析表明它们分别用于组建 Muhstik 和Mirai botnet,针对的都是Linux设备。

    样本分析

    MIRAI

    这一波传播的为miria新变种,相比最初代码,它做了如下变动:

    1. 移除了 table_init/table_lock_val/table_unlock_val 等mirai特有的配置管理函数。
    2. attack_init 函数也被抛弃,ddos攻击函数会被指令处理函数直接调用。

    同时,其C2域名选用了一个 uy 顶级域的域名,这在国内也是很少见的。

    Muhstik

    Muhstik 这个网络最早被披露于 2018 年,系一个借鉴了Mirai代码的Tsunami变种。在本次捕获的样本中,我们注意到新Muhstik变种增加了一个后门模块ldm,它具有增加SSH后门公钥的能力,其安装的后门公钥为:

    ssh-rsa AAAAB3NzaC1yc2EAAAABJQAAAQBtGZHLQlMLkrONMAChDVPZf+9gNG5s2rdTMBkOp6P7mKIQ/OkbgiozmZ3syhELI4L0M1TmJiRbbrIta8662z4WAKhXpiU22llfwrkN0m8yKJApd8lDzvvdBw+ShzJr+WaEWX7uW3WCe5NCxGxc6AU7c2vmuLlO0B203pIGVIbV1xJmj6MXrdZpNy7QRo9zStWmgmVY4GR4v26R3XDOn1gshuQ6PgUqgewQ+AlslLVuekdH23sLQfejXyJShcoFI6BbH67YTcoh4G/TuQdGe8lIeAAmp7lzzHMyu+2iSNoFFCeF48JSA2YZvssFOsGuAtV/9uPNQoi9EyvgM2mGDgJ
    

    该公钥被增加到 ~/.ssh/authorized_keys 文件后,攻击者即可无需密码认证直接登陆远程服务器,实现对目标服务器的持续操控。

    考虑到 log4j2 的漏洞机理比较特殊,“攻击者只需漫无目的的散播 payload 即会有机器被攻击,有点愿者上钩的意思。所以,攻击者很难直接判断被攻击的机器实际在哪里”,为确保后续可以使用这个后门,攻击者还要建立一个汇报机制,将受控机器的实际位置/用户名汇报到攻击者指定的服务器。Muhstik 通过 TOR 网络完成该汇报任务,这可能会给溯源工作增加一层难度。

    Muhstik 在访问 TOR 网络前,会通过一些公开的 DoH服务查询 relay.l33t-ppl.inf 的内容。在这个过程中,会产生一些与之相关的 DNS 请求。考虑到这些请求可能为判断失陷主机提供一些帮助。所以这里把相关域名列在下面。注意:这些域名不是CC域名,不是黑域名,而是正常的 DoH 服务。各运维相关读者需要根据自身业务情况酌情处理。

    doh.defaultroutes.de
    dns.hostux.net
    dns.dns-over-https.com
    uncensored.lux1.dns.nixnet.xyz
    dns.rubyfish.cn dns.twnic.tw
    doh.centraleu.pi-dns.com
    doh.dns.sb doh-fi.blahdns.com
    fi.doh.dns.snopyta.org
    dns.flatuslifir.is
    doh.li
    dns.digitale-gesellschaft.ch
    

    当无法直接从 TOR 网络汇报攻陷信息时,Muhstik 还会通过 TOR 的公网映射域名进行提交,相关域名列表如下:

    bvprzqhoz7j2ltin.onion.ws
    bvprzqhoz7j2ltin.onion.ly
    bvprzqhoz7j2ltin.tor2web.s
    

    Muhstik的ELF样本则集成了如下命令:

    能看到样本支持DDoS和后门指令。样本的C2保存在mirai风格的配置中,明文的配置信息如下:

     [0x02]: "listening tun0\x00", size=15
     [0x03]: "irc.de-za"\x1f\x90"listening tun0\x00"l", size=30
     [0x04]: "\x1f\x90", size=2
     [0x05]: "log.exposedbotnets.ru\x00", size=22
     [0x06]: "log.exposedbotnets.ru\x00", size=22
     [0x07]: "log.exposedbotnets.ru\x00", size=22
     [0x08]: "log.exposedbotnets.ru\x00", size=22
     [0x0a]: "/proc/\x00", size=7
     [0x0c]: "/exe\x00", size=5
     [0x0d]: "/status\x00", size=8
     [0x0e]: "/fd\x00", size=4
     [0x0f]: "\x58\x4D\x4E\x4E\x43\x50\x46\x22\x00", size=33
     [0x10]: "zollard\x00", size=8
     [0x11]: "muhstik-11052018\x00", size=17
     [0x12]: "\x02^nL\x0b\x1a\x06_nL\x02\x0f\x00", size=13
     [0x13]: "eth1\x00", size=5
     [0x14]: "lan0\x00", size=5
     [0x15]: "-\x00", size=2
     [0x16]: "eth0\x00", size=5
     [0x17]: "inet0\x00", size=6
     [0x18]: "lano\x00", size=5
     [0x19]: "log.exposedbotnets.ru\x00", size=22
     [0x1a]: "log.exposedbotnets.ru\x00", size=22
     [0x1b]: "d4cf8e4ab26f7fd15ef7df9f7937493d\x00", size=33
     [0x1c]: "log.exposedbotnets.ru\x00", size=22
     [0x1d]: "37.44.244.124\x00", size=14
     [0x1e]: "37.44.244.124\x00", size=14
     [0x1f]: "37.44.244.124\x00", size=14
     [0x20]: "37.44.244.124\x00", size=14
     [0x21]: "37.44.244.124\x00", size=14
     [0x22]: "log.exposedbotnets.ru\x00", size=22
     [0x23]: "log.exposedbotnets.ru\x00", size=22
    

    其中log.exposedbotnets.ru便是C2,它刚好解析到37.44.244.124。作者注册一个log开头的域名也许是故意切合Log4j这个漏洞。

    结论

    鉴于Log4j的漏洞影响面比较大,我们预计后续会有更多的botnet使用它来传播。对此我们会持续保持关注,有新的观察会第一时间在这里公布。

    IOC:

    Mirai

    C2:

    nazi.uy
    

    URL:

    http:[//62.210.130.250/lh.sh
    http:[//62.210.130.250:80/web/admin/x86_64
    http:[//62.210.130.250:80/web/admin/x86
    http:[//62.210.130.250:80/web/admin/x86_g
    

    Muhstik

    C2:

    log.exposedbotnets.ru
    

    URL:

    http:[//45.130.229.168:9999/Exploit.class
    http:[//18.228.7.109/.log/log
    http:[//18.228.7.109/.log/pty1;
    http:[//18.228.7.109/.log/pty2;
    http:[//18.228.7.109/.log/pty3;
    http:[//18.228.7.109/.log/pty4;
    http:[//18.228.7.109/.log/pty5;
    http:[//210.141.105.67:80/wp-content/themes/twentythirteen/m8
    http:[//159.89.182.117/wp-content/themes/twentyseventeen/ldm
    


    关注我们

    [超站]友情链接:

    四季很好,只要有你,文娱排行榜:https://www.yaopaiming.com/
    关注数据与安全,洞悉企业级服务市场:https://www.ijiandao.com/

    图库