多个恶意家族利用Log4j2漏洞发起攻击，阿里云安全中心默认防御

2021-12-15 1226

版权

本文内容由阿里云实名注册用户自发贡献，版权归原作者所有，阿里云开发者社区不拥有其著作权，亦不承担相应法律责任。具体规则请查看《阿里云开发者社区用户服务协议》和《阿里云开发者社区知识产权保护指引》。如果您发现本社区中有涉嫌抄袭的内容，填写侵权投诉表单进行举报，一经查实，本社区将立刻删除涉嫌侵权内容。

本文涉及的产品

Web应用防火墙 3.0，每月20元额度 3个月

云安全中心漏洞修复资源包免费试用，100次1年

云安全中心防病毒版，最高20核 3个月

简介： ❕❕❕

事件背景

自log4j2漏洞(CVE-2021-44228)被披露以来，阿里云安全中心对此漏洞的攻击保持着高度的关注，目前联合云防火墙，云WAF，病毒检测和防御等多个安全产品的安全能力对此漏洞的攻击利用进行全链路的检测和防御。通过持续性的攻击监控和数据分析，阿里云安全中心对此漏洞在云上的危害范围和攻击的状况进行分析，发布如下分析报告。

攻击状况概览

由于此漏洞的危害巨大，并且影响范围非常广泛，自2021年12月10日以来，阿里云安全中心监测到，平均每天在云上利用此漏洞进行攻击的次数接近千万次，常见的payload主要利用 ldap、rmi和dns等协议进行漏洞探测和攻击，并且使用各种绕过方式与安全产品进行对抗，全球攻击流量分布状况如下：

值得关注的是，云上已经有不少恶意家族将log4j2武器化，在全球范围内大肆扫描和自动化攻击，并植入挖矿、DDOS、勒索等病毒，阿里云安全中心监测到规模较大的家族有：Mirai、SupermanMiner、BillGates、Muhstik、Kinsing和Tellyouthepass等恶意家族。

云安全中心默认防御六大活跃蠕虫家族

家族一：Mirai 家族

Mirai 是 2016 年 9 月份爆发的一个主要针对 Linux 系统、活跃于 IoT 平台的 DDoS 僵尸网络。后来该僵尸网络代码被开源，引发了更多变种的出现。

攻击载荷：

攻击成功后下载执行如下的sensi.sh脚本，下载不同ARCH的Mirai DDOS木马文件，并以SSH为进程名启动下载的木马文件：

阿里云安全中心对该家族支持防御：

家族二：SupermanMiner 家族

SupermanMiner 挖矿僵尸网络是今年底出现的恶意挖矿僵尸网络。该家族核心样本由 Go 语言编写。

攻击载荷：

攻击成功后会使用HTTP协议从 205.185.121.53:8005 下载 aa0 脚本，并执行：

首先会检测 /var/tmp/.system-python3.8-Updates/mysqlserver 和 /var/tmp/.Javadoc/JavaUpdate 进程是否存在，主要为了防止自身重复启动，然后下载lz文件到/tmp/ac并执行。下载的lz文件是一个golang的XMRig加载器，它会修改如下文件实现对系统的持久化控制，然后进行挖门罗币挖矿：