Skip to main content
Nubint
QUICK REVIEW

[論文レビュー] The Race to the Vulnerable: Measuring the Log4j Shell Incident

Raphael Hiesgen, Marcin Nawrocki|arXiv (Cornell University)|May 5, 2022
Security and Verification in Computing被引用数 33
ひとこと要約

本論文は、公開後にUSとEUの観測点を横断するリアクティブなネットワークテレスコープを用いて、善意のスキャナーと悪意のあるスキャナーがLog4Shellをスキャンした方法を分析し、早期の善意のスパイクに続いて持続的な悪意の活動が見られることを明らかにしている。

ABSTRACT

The critical remote-code-execution (RCE) Log4Shell is a severe vulnerability that was disclosed to the public on December 10, 2021. It exploits a bug in the wide-spread Log4j library. Any service that uses the library and exposes an interface to the Internet is potentially vulnerable. In this paper, we measure the rush of scanners during the two months after the disclosure. We use several vantage points to observe both researchers and attackers. For this purpose, we collect and analyze payloads sent by benign and malicious communication parties, their origins, and churn. We find that the initial rush of scanners quickly ebbed. Especially non-malicious scanners were only interested in the days after the disclosure. In contrast, malicious scanners continue targeting the vulnerability.

研究の動機と目的

  • Log4Shellの開示後(2021年12月)に、多視点テレスコープ観測を用いてスキャン活動の規模とダイナミクスを測定する。
  • 2か月間にわたる攻撃者と善意のスキャニングの起源、ペイロード、ターゲットパターンを特徴づける。
  • 悪用試行で使われた共通の技術、ペイロードの変化、インフラストラクチャを特定する。

提案手法

  • リアクティブネットワークテレスコープ(Spoki)を4つの観測点(USとEU)に配置し、リアルタイムで着信ペイロードを観察する。
  • GreyNoiseを用いて送信源を(悪意のある、善意の、未知)に分類し、JNDIベースの悪用を含むペイロード内容を分析する。
  • MaxMindを用いてIPの地理的位置を特定し、PeeringDBとGreyNoiseの脅威情報を通じてネットワークをマッピングする。
  • 異なるペイロード、URL、サーバの時間的変化を分析し、HTTPヘッダへのエクスプロイト文字列の配置を調べる。
  • JNDI/Ldap悪用の手順を調べ、サーバのホスティング場所、ポート(特に1389)、および/Exploitやbase64変種などのパスを含む。

実験結果

リサーチクエスチョン

  • RQ1公開後の2か月間で、Log4Shellを標的としたスキャン活動はどのように進化したか?
  • RQ2主なスキャニング元(国、AS、ネットワークタイプ)は誰で、彼らはどこにサーバをホストしていたのか?
  • RQ3Log4Shellの悪用を促進するために使用されたペイロード、URL、サーバは何で、時間とともにどのように進化したか?
  • RQ4JNDIペイロードを運ぶために使用されたHTTPヘッダの位置はどこで、難読化は検出にどのような影響を与えたか?
  • RQ5LDAP/JNDIの悪用を通じてどのマルウェアが取得され、悪意のあるサーバは地理的にどのように分布していたか?

主な発見

  • EUでは開示日から、USでは開示前日にスキャンが始まり、約1週間後にピークに達し、HTTPポート活動が活発だった。
  • 善意のスキャナーが初期の活動を支配したが急速に低下し、一方で悪意のあるスキャナーは期間を通じて探索を続けた。
  • ほとんどのペイロードとURLはLDAP/JNDIの悪用を介して展開され、HTTP GETリクエストを使用することが多く、User-AgentやAuthorizationヘッダに頻繁に配置された。
  • USトラフィックは大規模で集中したスパイクを示し(しばしば単一のASから)、ピーク時にはロシア-originの存在感が顕著だった。EUのトラフィックはより広範な分布を示した。
  • 多くの悪意のあるサーバはホスティングプロバイダ(Content ASes)によってホストされ、地理的パターンは明確だった:エストニアがEUサーバをホストし、ロシアがUSホストインフラを支配していた。ポート1389が主要なLDAPポートだった。
  • 攻撃インフラは一般的に /Exploit のようなパスやbase64エンコードコマンドを使用し、JNDIExploitツールを用いて複数のペイロード変種を迅速に展開できるようにしていた。)

より良い研究を、今すぐ始めましょう

論文設計から論文執筆まで、研究時間を劇的に削減しましょう。

クレジットカード登録不要

このレビューはAIが作成し、人間の編集者が確認しました。