聲明：該文章來(lái)自（黑客技術(shù)）版權(quán)由原作者所有，K2OS渲染引擎提供網(wǎng)頁(yè)加速服務(wù)。

年末曝光的Log4j漏洞無(wú)疑可以算是今年的安全界大事了。作為專注于蜜罐和botnet檢測(cè)跟蹤的團(tuán)隊(duì)，我們自該漏洞被公開(kāi)后就一直關(guān)注它會(huì)被哪些botnet利用。今早我們等來(lái)了首批答案，我們的Anglerfish和Apacket蜜罐先后捕獲到2波利用Log4j漏洞組建botnet的攻擊，快速的樣本分析表明它們分別用于組建 Muhstik 和Mirai botnet，針對(duì)的都是Linux設(shè)備。

樣本分析

MIRAI

這一波傳播的為miria新變種，相比最初代碼，它做了如下變動(dòng)：

1. 移除了 table_init/table_lock_val/table_unlock_val 等mirai特有的配置管理函數(shù)。
2. attack_init 函數(shù)也被拋棄，ddos攻擊函數(shù)會(huì)被指令處理函數(shù)直接調(diào)用。

同時(shí)，其C2域名選用了一個(gè) uy 頂級(jí)域的域名，這在國(guó)內(nèi)也是很少見(jiàn)的。

Muhstik

Muhstik 這個(gè)網(wǎng)絡(luò)最早被披露于?2018?年，系一個(gè)借鑒了Mirai代碼的Tsunami變種。在本次捕獲的樣本中，我們注意到新Muhstik變種增加了一個(gè)后門(mén)模塊ldm，它具有增加SSH后門(mén)公鑰的能力，其安裝的后門(mén)公鑰為：

ssh-rsa AAAAB3NzaC1yc2EAAAABJQAAAQBtGZHLQlMLkrONMAChDVPZf+9gNG5s2rdTMBkOp6P7mKIQ/OkbgiozmZ3syhELI4L0M1TmJiRbbrIta8662z4WAKhXpiU22llfwrkN0m8yKJApd8lDzvvdBw+ShzJr+WaEWX7uW3WCe5NCxGxc6AU7c2vmuLlO0B203pIGVIbV1xJmj6MXrdZpNy7QRo9zStWmgmVY4GR4v26R3XDOn1gshuQ6PgUqgewQ+AlslLVuekdH23sLQfejXyJShcoFI6BbH67YTcoh4G/TuQdGe8lIeAAmp7lzzHMyu+2iSNoFFCeF48JSA2YZvssFOsGuAtV/9uPNQoi9EyvgM2mGDgJ

該公鑰被增加到 ~/.ssh/authorized_keys 文件后，攻擊者即可無(wú)需密碼認(rèn)證直接登陸遠(yuǎn)程服務(wù)器，實(shí)現(xiàn)對(duì)目標(biāo)服務(wù)器的持續(xù)操控。

考慮到 log4j2 的漏洞機(jī)理比較特殊，“攻擊者只需漫無(wú)目的的散播 payload 即會(huì)有機(jī)器被攻擊，有點(diǎn)愿者上鉤的意思。所以，攻擊者很難直接判斷被攻擊的機(jī)器實(shí)際在哪里”，為確保后續(xù)可以使用這個(gè)后門(mén)，攻擊者還要建立一個(gè)匯報(bào)機(jī)制，將受控機(jī)器的實(shí)際位置/用戶名匯報(bào)到攻擊者指定的服務(wù)器。Muhstik 通過(guò) TOR 網(wǎng)絡(luò)完成該匯報(bào)任務(wù)，這可能會(huì)給溯源工作增加一層難度。

Muhstik 在訪問(wèn) TOR 網(wǎng)絡(luò)前，會(huì)通過(guò)一些公開(kāi)的 DoH服務(wù)查詢 relay.l33t-ppl.inf 的內(nèi)容。在這個(gè)過(guò)程中，會(huì)產(chǎn)生一些與之相關(guān)的 DNS 請(qǐng)求?？紤]到這些請(qǐng)求可能為判斷失陷主機(jī)提供一些幫助。所以這里把相關(guān)域名列在下面。注意：這些域名不是CC域名，不是黑域名，而是正常的 DoH 服務(wù)。各運(yùn)維相關(guān)讀者需要根據(jù)自身業(yè)務(wù)情況酌情處理。

doh.defaultroutes.de
dns.hostux.net
dns.dns-over-https.com
uncensored.lux1.dns.nixnet.xyz
dns.rubyfish.cn dns.twnic.tw
doh.centraleu.pi-dns.com
doh.dns.sb doh-fi.blahdns.com
fi.doh.dns.snopyta.org
dns.flatuslifir.is
doh.li
dns.digitale-gesellschaft.ch

當(dāng)無(wú)法直接從 TOR 網(wǎng)絡(luò)匯報(bào)攻陷信息時(shí)，Muhstik 還會(huì)通過(guò) TOR 的公網(wǎng)映射域名進(jìn)行提交，相關(guān)域名列表如下：

bvprzqhoz7j2ltin.onion.ws
bvprzqhoz7j2ltin.onion.ly
bvprzqhoz7j2ltin.tor2web.s

Muhstik的ELF樣本則集成了如下命令：

能看到樣本支持DDoS和后門(mén)指令。樣本的C2保存在mirai風(fēng)格的配置中，明文的配置信息如下：

 [0x02]: "listening tun0\x00", size=15
 [0x03]: "irc.de-za"\x1f\x90"listening tun0\x00"l", size=30
 [0x04]: "\x1f\x90", size=2
 [0x05]: "log.exposedbotnets.ru\x00", size=22
 [0x06]: "log.exposedbotnets.ru\x00", size=22
 [0x07]: "log.exposedbotnets.ru\x00", size=22
 [0x08]: "log.exposedbotnets.ru\x00", size=22
 [0x0a]: "/proc/\x00", size=7
 [0x0c]: "/exe\x00", size=5
 [0x0d]: "/status\x00", size=8
 [0x0e]: "/fd\x00", size=4
 [0x0f]: "\x58\x4D\x4E\x4E\x43\x50\x46\x22\x00", size=33
 [0x10]: "zollard\x00", size=8
 [0x11]: "muhstik-11052018\x00", size=17
 [0x12]: "\x02^nL\x0b\x1a\x06_nL\x02\x0f\x00", size=13
 [0x13]: "eth1\x00", size=5
 [0x14]: "lan0\x00", size=5
 [0x15]: "-\x00", size=2
 [0x16]: "eth0\x00", size=5
 [0x17]: "inet0\x00", size=6
 [0x18]: "lano\x00", size=5
 [0x19]: "log.exposedbotnets.ru\x00", size=22
 [0x1a]: "log.exposedbotnets.ru\x00", size=22
 [0x1b]: "d4cf8e4ab26f7fd15ef7df9f7937493d\x00", size=33
 [0x1c]: "log.exposedbotnets.ru\x00", size=22
 [0x1d]: "37.44.244.124\x00", size=14
 [0x1e]: "37.44.244.124\x00", size=14
 [0x1f]: "37.44.244.124\x00", size=14
 [0x20]: "37.44.244.124\x00", size=14
 [0x21]: "37.44.244.124\x00", size=14
 [0x22]: "log.exposedbotnets.ru\x00", size=22
 [0x23]: "log.exposedbotnets.ru\x00", size=22

其中l(wèi)og.exposedbotnets.ru便是C2，它剛好解析到37.44.244.124。作者注冊(cè)一個(gè)log開(kāi)頭的域名也許是故意切合Log4j這個(gè)漏洞。

結(jié)論

鑒于Log4j的漏洞影響面比較大，我們預(yù)計(jì)后續(xù)會(huì)有更多的botnet使用它來(lái)傳播。對(duì)此我們會(huì)持續(xù)保持關(guān)注，有新的觀察會(huì)第一時(shí)間在這里公布。

IOC:

Mirai

C2:

nazi.uy

URL:

http:[//62.210.130.250/lh.sh
http:[//62.210.130.250:80/web/admin/x86_64
http:[//62.210.130.250:80/web/admin/x86
http:[//62.210.130.250:80/web/admin/x86_g

Muhstik

C2:

log.exposedbotnets.ru

URL:

http:[//45.130.229.168:9999/Exploit.class
http:[//18.228.7.109/.log/log
http:[//18.228.7.109/.log/pty1;
http:[//18.228.7.109/.log/pty2;
http:[//18.228.7.109/.log/pty3;
http:[//18.228.7.109/.log/pty4;
http:[//18.228.7.109/.log/pty5;
http:[//210.141.105.67:80/wp-content/themes/twentythirteen/m8
http:[//159.89.182.117/wp-content/themes/twentyseventeen/ldm

[超站]友情鏈接：

四季很好，只要有你，文娛排行榜：https://www.yaopaiming.com/
關(guān)注數(shù)據(jù)與安全，洞悉企業(yè)級(jí)服務(wù)市場(chǎng)：https://www.ijiandao.com/