多个恶意家族利用Log4j2漏洞发起攻击，阿里云安全中心默认防御

2021-10-09 16:59:04

事件背景

自log4j2漏洞(CVE-2021-44228)被披露以来，阿里云安全中心对此漏洞的攻击保持着高度的关注，目前联合云防火墙，云WAF，病毒检测和防御等多个安全产品的安全能力对此漏洞的攻击利用进行全链路的检测和防御。通过持续性的攻击监控和数据分析，阿里云安全中心对此漏洞在云上的危害范围和攻击的状况进行分析，发布如下分析报告。

攻击状况概览

由于此漏洞的危害巨大，并且影响范围非常广泛，自2021年12月10日以来，阿里云安全中心监测到，平均每天在云上利用此漏洞进行攻击的次数接近千万次，常见的payload主要利用 ldap、rmi和dns等协议进行漏洞探测和攻击，并且使用各种绕过方式与安全产品进行对抗，全球攻击流量分布状况如下：

值得关注的是，云上已经有不少恶意家族将log4j2武器化，在全球范围内大肆扫描和自动化攻击，并植入挖矿、DDOS、勒索等病毒，阿里云安全中心监测到规模较大的家族有：Mirai、SupermanMiner、BillGates、Muhstik、Kinsing和Tellyouthepass等恶意家族。

云安全中心默认防御六大活跃蠕虫家族

家族一：Mirai 家族

Mirai 是 2016 年 9 月份爆发的一个主要针对 Linux 系统、活跃于 IoT 平台的 DDoS 僵尸网络。后来该僵尸网络代码被开源，引发了更多变种的出现。

攻击载荷：

攻击成功后下载执行如下的sensi.sh脚本，下载不同ARCH的Mirai DDOS木马文件，并以SSH为进程名启动下载的木马文件：

阿里云安全中心对该家族支持防御：

家族二：SupermanMiner 家族

SupermanMiner 挖矿僵尸网络是今年底出现的恶意挖矿僵尸网络。该家族核心样本由 Go 语言编写。

攻击载荷：

攻击成功后会使用HTTP协议从 205.185.121.53:8005 下载 aa0 脚本，并执行：

首先会检测 /var/tmp/.system-python3.8-Updates/mysqlserver 和 /var/tmp/.Javadoc/JavaUpdate 进程是否存在，主要为了防止自身重复启动，然后下载lz文件到/tmp/ac并执行。下载的lz文件是一个golang的XMRig加载器，它会修改如下文件实现对系统的持久化控制，然后进行挖门罗币挖矿：