QUICK REVIEW

[论文解读] The Race to the Vulnerable: Measuring the Log4j Shell Incident

Raphael Hiesgen, Marcin Nawrocki|arXiv (Cornell University)|May 5, 2022

Security and Verification in Computing被引用 33

一句话总结

本文分析在披露后，使用跨美/欧视点的被动网络望远镜对 Log4Shell 的扫描情况，区分良性与恶意扫描，发现初期出现良性尖峰，随后持续的恶意活动。

ABSTRACT

The critical remote-code-execution (RCE) Log4Shell is a severe vulnerability that was disclosed to the public on December 10, 2021. It exploits a bug in the wide-spread Log4j library. Any service that uses the library and exposes an interface to the Internet is potentially vulnerable. In this paper, we measure the rush of scanners during the two months after the disclosure. We use several vantage points to observe both researchers and attackers. For this purpose, we collect and analyze payloads sent by benign and malicious communication parties, their origins, and churn. We find that the initial rush of scanners quickly ebbed. Especially non-malicious scanners were only interested in the days after the disclosure. In contrast, malicious scanners continue targeting the vulnerability.

研究动机与目标

使用多视角望远镜观测，衡量 Log4Shell 公布（2021年12月）后扫描活动的规模与动态。
在两个月内对攻击者与 benign 扫描的来源、有效载荷和目标模式进行特征化。
识别利用尝试中常见的技术、有效载荷演变以及所使用的基础设施。

提出的方法

在四个视点（US 和 EU）部署被动网络望远镜（Spoki），以实时观测传入的有效载荷。
使用 GreyNoise 将来源分类为恶意、良性、未知，并分析针对 JNDI 基于利用的有效载荷内容。
使用 MaxMind 对 IP 进行地理定位，并通过 PeeringDB 与 GreyNoise 威胁情报绘制网络地图。
分析不同有效载荷、URL 和服务器的时间演变；检查在 HTTP 头中放置利用字符串的位置。
检查 JNDI/Ldap 利用步骤，包括服务器托管位置、端口（特别是 1389）以及如 Exploit、base64 变体等路径。

实验结果

研究问题

RQ1公开披露后两个月里，针对 Log4Shell 的扫描活动如何演变？
RQ2主要的扫描源是谁（国家、AS、网络类型），他们的服务器托管在哪儿？
RQ3用于促成 Log4Shell 利用的有效载荷、URL 和服务器是什么，随时间如何演变？
RQ4用于承载 JNDI 有效载荷的 HTTP 头部位置是什么，混淆如何影响检测？
RQ5通过 LDAP/JNDI 利用检索到的恶意软件是什么，以及恶意服务器的地理分布如何？

主要发现

EU 在披露日开始扫描，美国在披露前夕开始扫描，约一周后达到峰值，伴随大量 HTTP/端口活动。
良性扫描在早期活动中占主导，但迅速减弱，而恶意扫描则在整个时期持续探测。
大多数有效载荷和 URL 通过 LDAP/JNDI 利用部署，通常使用 HTTP GET 请求，且经常放在 User-Agent 或 Authorization 头中。
美国流量在峰值阶段显示出大规模、集中的尖峰（通常来自单一 AS），并且有明显的俄罗斯来源；EU 流量呈现更广泛的分布。
许多恶意服务器由主机托管商（Content ASes）托管，呈现明显的地理模式：爱沙尼亚承载 EU 服务器，俄罗斯主导美国托管的基础设施；端口 1389 是主要的 LDAP 端口。
攻击基础设施常用路径如 /Exploit，以及 base64 编码的命令，JNDIExploit 工具支持快速部署多种有效载荷变体。

更好的研究，从现在开始

从论文设计到论文写作，大幅缩短您的研究时间。

无需绑定信用卡

本解读由 AI 生成，并经人工编辑审核。