图片-稻子网
图片-稻子网
图片-稻子网
图片-稻子网

利用apache web服务器日志分析辨认攻击-攻击者已经通过利用迭代 Log4Shell 漏洞发起攻击

图片[1]-利用apache web服务器日志分析辨认攻击-攻击者已经通过利用迭代 Log4Shell 漏洞发起攻击-稻子网

图片[2]-利用apache web服务器日志分析辨认攻击-攻击者已经通过利用迭代 Log4Shell 漏洞发起攻击-稻子网

12月初,出现核弹级系统漏洞,导致多家互联网公司内部服务器被发现、劫持甚至植入。尽管现在已经修复,但攻击仍在继续,因为它出现在最基本的 log4j 模块上。Log4j 是一个开源项目。通过使用 Log4j,我们可以控制日志信息传递到控制台、文件、GUI 组件甚至套接字服务器、NT 事件记录器、UNIX 守护进程等的目的地;我们还可以控制每条日志的输出格​​式;通过定义每个日志信息的级别,我们可以更详细地控制日志的生成过程。最有趣的是,这些可以通过配置文件灵活配置,无需修改应用代码。

该漏洞已被定义为CVE-2021-44228,该漏洞基本上分为两部分:一部分(允许特殊构造的可记录字符串引诱Java程序使用该组件访问攻击者指定的URI)和Java核心部分(允许未经检查地执行服务器响应中引用的 Java 代码)。

图片[3]-利用apache web服务器日志分析辨认攻击-攻击者已经通过利用迭代 Log4Shell 漏洞发起攻击-稻子网

PANDA利用漏洞攻击学术机构

安全检测器观察到攻击者通过 DNS 查找对 dns[.]1433[.]eu[.]org 下的子域执行多个连接检查,这是在实例上运行的服务下执行的。已观察到多个攻击者在利用尝试期间利用可公开访问的 DNS 日志服务(例如 dns[.]1433[.]eu[.]org),以便在连接回攻击者控制的受攻击的 DNS 服务的服务器时识别易受攻击的攻击者。

图片[4]-利用apache web服务器日志分析辨认攻击-攻击者已经通过利用迭代 Log4Shell 漏洞发起攻击-稻子网

已识别的原始可疑侦察令

攻击者随后执行了一系列 Linux 命令,包括尝试使用硬编码的 IP 地址执行基于 bash 的交互式 shell 以及 curl 和 wget 命令,以检索托管在远程基础设施上的攻击者工具。通过分析用于攻击的基础设施,PANDA 的情报团队认为它是由 PANDA 的攻击组发起的。PANDA 肩负着情报收集和工业间谍活动的双重使命。它可能至少从 2020 年 5 月开始运营。PANDA 主要针对电信、技术和政府部门。PANDA 受到严重依赖,它的工具集包括一个独特的下载器作为跟踪,并且 PANDA 还向目标发送一个 njRAT 有效负载。

在该服务下的主机上执行 Linux 命令立即引起了安全检查人员的注意。在对初始活动进行分类后,立即将关键检测发送到受害组织的平台利用apache web服务器日志分析辨认攻击,并直接与他们的安全团队共享其他详细信息。

图片[5]-利用apache web服务器日志分析辨认攻击-攻击者已经通过利用迭代 Log4Shell 漏洞发起攻击-稻子网

尝试在主机上执行 Linux 命令失败

根据安全检测器可用的跟踪数据和其他发现,研究人员认为攻击者使用了 Log4j 漏洞的迭代版本。

图片[6]-利用apache web服务器日志分析辨认攻击-攻击者已经通过利用迭代 Log4Shell 漏洞发起攻击-稻子网

在 PANDA 属性中发现可疑的 Log4j 漏洞

如下图,通过对JNDI---1.0.jar文件的跟踪分析,可以确认该文件于2021年12月13日在公共项目hxxps[ :]//[ .]com/dbgee/ 并可用于根据观察到的后续活动访问易受攻击的实例。

PANDA 继续通过主机进行侦察,使用本机操作系统二进制文件来了解当前权限级别以及系统和域详细信息。安全检查员还观察到发现和停止第三方端点检测和响应 (EDR) 服务的尝试。

攻击者在下载其他脚本并执行编码命令以从其工具包中检索恶意软件时继续跟踪恶意行为。

观察到攻击者从远程基础设施检索三个具有 VBS 文件扩展名的文件。然后使用 .exe 将这些文件分别解码为 EXE、DLL 和 DAT 文件。根据追踪到的数据利用apache web服务器日志分析辨认攻击,认为这些文件可能构成了一个反向shell,被劫持并通过DLL搜索顺序加载到内存中。

最后,观察到 PANDA 多次尝试通过转储 LSASS 进程的内存来获取凭据,使用的是 -off-the-land 二进制 .exe 和 cdump.exe(.exe 的重命名副本)。攻击者使用压缩内存转储,随时准备窃取数据,然后尝试通过删除 \temp\ 目录中的所有可执行文件来掩盖他们的踪迹。

图片[7]-利用apache web服务器日志分析辨认攻击-攻击者已经通过利用迭代 Log4Shell 漏洞发起攻击-稻子网

尝试内存转储时使用的命令行

图片[8]-利用apache web服务器日志分析辨认攻击-攻击者已经通过利用迭代 Log4Shell 漏洞发起攻击-稻子网

平台捕获的攻击者行为

在整个攻击过程中,攻击者的活动被密切跟踪,以向受害组织提供持续更新。基于提供的可操作情报,受害组织能够快速实施其事件响应协议,最终修复易受攻击的应用程序并防止主机上的进一步攻击活动。

© 版权声明
THE END
喜欢就支持一下吧
点赞0 分享
评论 抢沙发
头像
欢迎您留下宝贵的见解!
提交
头像

昵称

取消
昵称表情代码图片