Skip to main content
누빈트
QUICK REVIEW

[논문 리뷰] The Race to the Vulnerable: Measuring the Log4j Shell Incident

Raphael Hiesgen, Marcin Nawrocki|arXiv (Cornell University)|2022. 05. 05.
Security and Verification in Computing인용 수 33
한 줄 요약

논문은 Log4Shell 공개 직후의 스캐너들(양성 및 악성)이 반응형 네트워크 망원경을 사용해 미국과 EU 관점에서 스캐닝한 동향을 분석한 결과, 초기의 양성 급증에 이어 지속적인 악성 활동이 나타났음을 밝혀낸다.

ABSTRACT

The critical remote-code-execution (RCE) Log4Shell is a severe vulnerability that was disclosed to the public on December 10, 2021. It exploits a bug in the wide-spread Log4j library. Any service that uses the library and exposes an interface to the Internet is potentially vulnerable. In this paper, we measure the rush of scanners during the two months after the disclosure. We use several vantage points to observe both researchers and attackers. For this purpose, we collect and analyze payloads sent by benign and malicious communication parties, their origins, and churn. We find that the initial rush of scanners quickly ebbed. Especially non-malicious scanners were only interested in the days after the disclosure. In contrast, malicious scanners continue targeting the vulnerability.

연구 동기 및 목표

  • 다중 관점 망원경 관측을 사용하여 Log4Shell 공개(2021년 12월) 이후 스캐닝 활동의 규모와 다이나믹스를 측정한다.
  • 2개월에 걸친 공격자와 양성 스캐닝의 기원, 페이로드 및 타깃 패턴을 특징화한다.
  • 공격 시도에 사용된 일반적인 기법, 페이로드의 진화 및 인프라를 식별한다.

제안 방법

  • 실시간으로 수신 페이로드를 관찰하기 위해 네 곳의 관측 지점(미국 및 EU)에 반응형 네트워크 망원경(Spoki)을 배치한다.
  • GreyNoise를 사용해 출처를 악성/양성/알 수 없음으로 분류하고 JNDI 기반 Exploits의 페이로드 내용을 분석한다.
  • MaxMind로 IP의 지리 위치를 파악하고 PeeringDB 및 GreyNoise 위협 인텔리전스를 통해 네트워크를 매핑한다.
  • 구별되는 페이로드, URL, 서버의 시간적 변화를 분석하고 HTTP 헤더에 있는 익스플로잇 문자열 배치를 검토한다.
  • JNDI/Ldap exploitation 단계(서버 호스팅 위치, 포트(특히 1389), Exploit 및 base64 변형과 같은 경로)를 점검한다.

실험 결과

연구 질문

  • RQ1공개 발표 이후 두 달 동안 Log4Shell을 겨냥한 스캔 활동은 어떻게 진화했는가?
  • RQ2주요 스캐닝 소스(국가, ASN, 네트워크 유형)는 누구였으며 그들은 어디에 서버를 호스팅했는가?
  • RQ3Log4Shell 악용을 촉진하기 위해 사용된 페이로드, URL 및 서버는 무엇이며 시간에 따라 어떻게 진화했는가?
  • RQ4JNDI 페이로드를 운반하는 HTTP 헤더의 위치는 어디였고, 난독화가 탐지에 어떤 영향을 미쳤는가?
  • RQ5LDAP/JNDI 익스플로잇을 통해 어떤 악성 코드가 수집되었으며 악성 서버는 지리적으로 어떻게 분포했는가?

주요 결과

  • EU에서 공개 당일에 스캐닝이 시작되고 미국은 공개 직전에 시작되었으며 약 일주일 후 HTTP 포트 활동이 많아 피크를 이루었다.
  • 양성 스캐너가 초기 활동을 지배했지만 빠르게 감소했고, 악성 스캐너는 기간 내내 계속 probing했다.
  • 대부분의 페이로드와 URL은 LDAP/JNDI 익스플로잇을 통해 배포되었고, 일반적으로 HTTP GET 요청을 사용했으며 종종 User-Agent 또는 Authorization 헤더에 배치되었다.
  • 미국 트래픽은 큰 집중 스파이크를 보였고(대부분 단일 AS에서 발생), 피크 기간 동안 두드러진 러시아 기원 존재를 나타냈다; EU 트래픽은 더 넓은 분포를 보았다.
  • 다수의 악성 서버가 호스팅 제공업체(콘텐츠 AS)에서 호스팅되었으며 지리적으로 뚜렷한 패턴이 있다: 에스토니아가 EU 서버를 호스팅했고 러시아가 미국 호스팅 인프라를 지배했고; LDAP의 주요 포트는 1389였다.
  • 공격 인프라는 일반적으로 /Exploit와 base64 인코딩 명령과 같은 경로를 사용했으며, JNDIExploit 도구를 통해 여러 페이로드 변형의 신속한 배포가 가능했다.

더 나은 연구,지금 바로 시작하세요

연구 설계부터 논문 작성까지, 연구 시간을 획기적으로 줄여보세요.

카드 등록 없음 · 무료 플랜 제공

이 리뷰는 AI가 만들고, 인간 에디터가 검토했습니다.