年末曝光的Log4j漏洞無疑可以算是今年的安全界大事了。作為專注于蜜罐和botnet檢測跟蹤的團隊，我們自該漏洞被公開后就一直關注它會被哪些botnet利用。今早我們等來了首批答案，我們的Anglerfish和Apacket蜜罐先后捕獲到2波利用Log4j漏洞組建botnet的攻擊，快速的樣本分析表明它們分別用于組建 Muhstik 和Mirai botnet，針對的都是Linux設備。

樣本分析

MIRAI

這一波傳播的為miria新變種，相比最初代碼，它做了如下變動：

1. 移除了 table_init/table_lock_val/table_unlock_val 等mirai特有的配置管理函數(shù)。
2. attack_init 函數(shù)也被拋棄，ddos攻擊函數(shù)會被指令處理函數(shù)直接調(diào)用。

同時，其C2域名選用了一個 uy 頂級域的域名，這在國內(nèi)也是很少見的。

Muhstik

Muhstik 這個網(wǎng)絡最早被披露于?2018?年，系一個借鑒了Mirai代碼的Tsunami變種。在本次捕獲的樣本中，我們注意到新Muhstik變種增加了一個后門模塊ldm，它具有增加SSH后門公鑰的能力，其安裝的后門公鑰為：

ssh-rsa AAAAB3NzaC1yc2EAAAABJQAAAQBtGZHLQlMLkrONMAChDVPZf+9gNG5s2rdTMBkOp6P7mKIQ/OkbgiozmZ3syhELI4L0M1TmJiRbbrIta8662z4WAKhXpiU22llfwrkN0m8yKJApd8lDzvvdBw+ShzJr+WaEWX7uW3WCe5NCxGxc6AU7c2vmuLlO0B203pIGVIbV1xJmj6MXrdZpNy7QRo9zStWmgmVY4GR4v26R3XDOn1gshuQ6PgUqgewQ+AlslLVuekdH23sLQfejXyJShcoFI6BbH67YTcoh4G/TuQdGe8lIeAAmp7lzzHMyu+2iSNoFFCeF48JSA2YZvssFOsGuAtV/9uPNQoi9EyvgM2mGDgJ

該公鑰被增加到 ~/.ssh/authorized_keys 文件后，攻擊者即可無需密碼認證直接登陸遠程服務器，實現(xiàn)對目標服務器的持續(xù)操控。

考慮到 log4j2 的漏洞機理比較特殊，“攻擊者只需漫無目的的散播 payload 即會有機器被攻擊，有點愿者上鉤的意思。所以，攻擊者很難直接判斷被攻擊的機器實際在哪里”，為確保后續(xù)可以使用這個后門，攻擊者還要建立一個匯報機制，將受控機器的實際位置/用戶名匯報到攻擊者指定的服務器。Muhstik 通過 TOR 網(wǎng)絡完成該匯報任務，這可能會給溯源工作增加一層難度。

Muhstik 在訪問 TOR 網(wǎng)絡前，會通過一些公開的 DoH服務查詢 relay.l33t-ppl.inf 的內(nèi)容。在這個過程中，會產(chǎn)生一些與之相關的 DNS 請求?？紤]到這些請求可能為判斷失陷主機提供一些幫助。所以這里把相關域名列在下面。注意：這些域名不是CC域名，不是黑域名，而是正常的 DoH 服務。各運維相關讀者需要根據(jù)自身業(yè)務情況酌情處理。

doh.defaultroutes.de
dns.hostux.net
dns.dns-over-https.com
uncensored.lux1.dns.nixnet.xyz
dns.rubyfish.cn dns.twnic.tw
doh.centraleu.pi-dns.com
doh.dns.sb doh-fi.blahdns.com
fi.doh.dns.snopyta.org
dns.flatuslifir.is
doh.li
dns.digitale-gesellschaft.ch

當無法直接從 TOR 網(wǎng)絡匯報攻陷信息時，Muhstik 還會通過 TOR 的公網(wǎng)映射域名進行提交，相關域名列表如下：

bvprzqhoz7j2ltin.onion.ws
bvprzqhoz7j2ltin.onion.ly
bvprzqhoz7j2ltin.tor2web.s

Muhstik的ELF樣本則集成了如下命令：

能看到樣本支持DDoS和后門指令。樣本的C2保存在mirai風格的配置中，明文的配置信息如下：

 [0x02]: "listening tun0\x00", size=15
 [0x03]: "irc.de-za"\x1f\x90"listening tun0\x00"l", size=30
 [0x04]: "\x1f\x90", size=2
 [0x05]: "log.exposedbotnets.ru\x00", size=22
 [0x06]: "log.exposedbotnets.ru\x00", size=22
 [0x07]: "log.exposedbotnets.ru\x00", size=22
 [0x08]: "log.exposedbotnets.ru\x00", size=22
 [0x0a]: "/proc/\x00", size=7
 [0x0c]: "/exe\x00", size=5
 [0x0d]: "/status\x00", size=8
 [0x0e]: "/fd\x00", size=4
 [0x0f]: "\x58\x4D\x4E\x4E\x43\x50\x46\x22\x00", size=33
 [0x10]: "zollard\x00", size=8
 [0x11]: "muhstik-11052018\x00", size=17
 [0x12]: "\x02^nL\x0b\x1a\x06_nL\x02\x0f\x00", size=13
 [0x13]: "eth1\x00", size=5
 [0x14]: "lan0\x00", size=5
 [0x15]: "-\x00", size=2
 [0x16]: "eth0\x00", size=5
 [0x17]: "inet0\x00", size=6
 [0x18]: "lano\x00", size=5
 [0x19]: "log.exposedbotnets.ru\x00", size=22
 [0x1a]: "log.exposedbotnets.ru\x00", size=22
 [0x1b]: "d4cf8e4ab26f7fd15ef7df9f7937493d\x00", size=33
 [0x1c]: "log.exposedbotnets.ru\x00", size=22
 [0x1d]: "37.44.244.124\x00", size=14
 [0x1e]: "37.44.244.124\x00", size=14
 [0x1f]: "37.44.244.124\x00", size=14
 [0x20]: "37.44.244.124\x00", size=14
 [0x21]: "37.44.244.124\x00", size=14
 [0x22]: "log.exposedbotnets.ru\x00", size=22
 [0x23]: "log.exposedbotnets.ru\x00", size=22

其中l(wèi)og.exposedbotnets.ru便是C2，它剛好解析到37.44.244.124。作者注冊一個log開頭的域名也許是故意切合Log4j這個漏洞。

結(jié)論

鑒于Log4j的漏洞影響面比較大，我們預計后續(xù)會有更多的botnet使用它來傳播。對此我們會持續(xù)保持關注，有新的觀察會第一時間在這里公布。

IOC:

Mirai

C2:

nazi.uy

URL:

http:[//62.210.130.250/lh.sh
http:[//62.210.130.250:80/web/admin/x86_64
http:[//62.210.130.250:80/web/admin/x86
http:[//62.210.130.250:80/web/admin/x86_g

Muhstik

C2:

log.exposedbotnets.ru

URL:

http:[//45.130.229.168:9999/Exploit.class
http:[//18.228.7.109/.log/log
http:[//18.228.7.109/.log/pty1;
http:[//18.228.7.109/.log/pty2;
http:[//18.228.7.109/.log/pty3;
http:[//18.228.7.109/.log/pty4;
http:[//18.228.7.109/.log/pty5;
http:[//210.141.105.67:80/wp-content/themes/twentythirteen/m8
http:[//159.89.182.117/wp-content/themes/twentyseventeen/ldm

[超站]友情鏈接：

四季很好，只要有你，文娛排行榜：https://www.yaopaiming.com/
關注數(shù)據(jù)與安全，洞悉企業(yè)級服務市場：https://www.ijiandao.com/