Log4j2漏洞利用攻击团伙预警
2022-1-10 15:46:51 Author: blog.nsfocus.net(查看原文) 阅读量:16 收藏

阅读: 5

一、综述

绿盟科技通过对海量多源异构数据进行攻击团伙追踪和危害分析,同时依托海量安全情报源进行攻击团伙情报归因,针对海量数据关联情报进行威胁模型构建,团伙聚类和数据分析,在2021-12-20至2021-12-28期间发现33个Log4j2攻击团伙,攻击目标主机5066台,希望各个单位迅速封禁攻击源地址,加固相关资产,协助各个单位做好防护。

从攻击团伙起源来看,活跃33个团伙中共有10个不同的来源国,发现5066台主机受到攻击,境内有13个团伙,受害目标1199个,境外20个,最为惨烈的俄罗斯有7个,受害目标1998个,美国4个团伙,攻击目标789,德国1个团伙,攻击目标377;攻击最为剧烈的为俄罗斯、美国和德国的境外攻击源,警惕境外攻击勒索。从受害主机层面来看,疑似陕西省的受害主机最多,占比为14%;其次为广东省12%,湖北省115;行业分布上,其中受害主机数量最多的行业为企业36%,其次为政务31%和教育医疗18%,相关地区和行业需要提升警惕,加强防护。

Log4j2漏洞攻击团伙基本统计信息如下表所示:

团伙代号攻击主机攻击主机地理信息绿盟情报标签受害主机数目主要攻击手段
SYS-SG-0061.116.59.211中国上海漏洞利用73Log4j2漏洞攻击
SYS-SG-007147.182.202.30美国漏洞利用449Log4j2漏洞攻击SSH远程登录输入数据操作
SYS-SG-008150.158.95.54150.158.189.96中国上海漏洞利用66Log4j2漏洞攻击
SYS-SG-009104.248.144.120新加坡漏洞利用63Log4j2漏洞攻击
SYS-SG-010164.52.53.163新加坡漏洞利用42Log4j2漏洞攻击
SYS-SG-011167.71.175.10美国漏洞利用194Log4j2漏洞攻击
SYS-SG-012170.210.45.163阿根廷漏洞利用178Log4j2漏洞攻击
SYS-SG-013142.93.18.229美国漏洞利用32Log4j2漏洞攻击绕过身份验证
SYS-SG-014121.4.56.143中国上海漏洞利用17Log4j2漏洞攻击
SYS-SG-015120.53.243.154中国北京漏洞利用21Log4j2漏洞攻击
SYS-SG-01689.22.180.140俄罗斯漏洞利用6Log4j2漏洞攻击
SYS-SG-01786.109.208.194俄罗斯漏洞利用167Log4j2漏洞攻击密码暴力破解绕过身份验证
SYS-SG-01878.31.71.248德国漏洞利用377Log4j2漏洞攻击输入数据操作
SYS-SG-01977.37.134.80俄罗斯漏洞利用44Log4j2漏洞攻击
SYS-SG-02060.31.180.149中国内蒙古通辽市漏洞利用58Log4j2漏洞攻击
SYS-SG-0215.157.38.50瑞典漏洞利用119Log4j2漏洞攻击
SYS-SG-02247.241.208.155新加坡漏洞利用84Log4j2漏洞攻击
SYS-SG-02346.105.95.220法国漏洞利用79Log4j2漏洞攻击
SYS-SG-02445.135.232.110俄罗斯漏洞利用30Log4j2漏洞攻击SQL注入TCP ACK扫描利用可信凭据命令注入
SYS-SG-025113.98.224.68中国广东深圳市漏洞利用103Log4j2漏洞攻击
SYS-SG-026223.111.180.119中国江苏常州市漏洞利用89Log4j2漏洞攻击
SYS-SG-027221.226.159.22中国江苏南京市漏洞利用162Log4j2漏洞攻击
SYS-SG-028221.199.187.100中国内蒙古通辽市漏洞利用76Log4j2漏洞攻击
SYS-SG-029211.154.194.21中国北京漏洞利用188Log4j2漏洞攻击
SYS-SG-030195.54.160.149俄罗斯漏洞利用1655Log4j2漏洞攻击代码注入功能滥用密码暴力破解绕过防护功能
SYS-SG-031191.232.38.25巴西漏洞利用28Log4j2漏洞攻击
SYS-SG-032111.59.85.209中国广西桂林市漏洞利用114Log4j2漏洞攻击
SYS-SG-033188.235.114.54俄罗斯漏洞利用3Log4j2漏洞攻击
SYS-SG-034185.184.152.140英国漏洞利用104Log4j2漏洞攻击
SYS-SG-03518.233.166.97美国漏洞利用114Log4j2漏洞攻击输入数据操作
SYS-SG-036178.176.202.121俄罗斯漏洞利用99Log4j2漏洞攻击
SYS-SG-037175.6.210.66中国湖南衡阳市漏洞利用226Log4j2漏洞攻击
SYS-SG-038175.24.179.175中国上海漏洞利用6Log4j2漏洞攻击

二、缓解防御建议

(1)建议各个单位针对以下IP,在防火墙、入侵检测、web应用防火墙等安全设备上封禁以下IP。

团伙代号攻击主机攻击主机地理信息
SYS-SG-0061.116.59.211中国上海
SYS-SG-007147.182.202.30美国
SYS-SG-008150.158.95.54150.158.189.96中国上海
SYS-SG-009104.248.144.120新加坡
SYS-SG-010164.52.53.163新加坡
SYS-SG-011167.71.175.10美国
SYS-SG-012170.210.45.163阿根廷
SYS-SG-013142.93.18.229美国
SYS-SG-014121.4.56.143中国上海
SYS-SG-015120.53.243.154中国北京
SYS-SG-01689.22.180.140俄罗斯
SYS-SG-01786.109.208.194俄罗斯
SYS-SG-01878.31.71.248德国
SYS-SG-01977.37.134.80俄罗斯
SYS-SG-02060.31.180.149中国内蒙古通辽市
SYS-SG-0215.157.38.50瑞典
SYS-SG-02247.241.208.155新加坡
SYS-SG-02346.105.95.220法国
SYS-SG-02445.135.232.110俄罗斯
SYS-SG-025113.98.224.68中国广东深圳市
SYS-SG-026223.111.180.119中国江苏常州市
SYS-SG-027221.226.159.22中国江苏南京市
SYS-SG-028221.199.187.100中国内蒙古通辽市
SYS-SG-029211.154.194.21中国北京
SYS-SG-030195.54.160.149俄罗斯
SYS-SG-031191.232.38.25巴西
SYS-SG-032111.59.85.209中国广西桂林市
SYS-SG-033188.235.114.54俄罗斯
SYS-SG-034185.184.152.140英国
SYS-SG-03518.233.166.97美国
SYS-SG-036178.176.202.121俄罗斯
SYS-SG-037175.6.210.66中国湖南衡阳市
SYS-SG-038175.24.179.175中国上海

(2)建议用户做好Log4j2漏洞修补

建议参考《【再出新洞】Apache Log4j多个高危漏洞完整处置手册》https://mp.weixin.qq.com/s/pNbHXkLejI6hPLE65UScoQ

三、攻击团伙分析

2021-12-20至2021-12-28期间,一共新发现Log4j2系统漏洞攻击团伙33个,活跃的团伙为33个。

团伙地域分布

根据团伙攻击主机所在地域进行统计:

本次发现的33个系统漏洞攻击团伙中,相关的攻击主机共有10个不同的来源国,其中位于中国的数量团伙数量最多,有13个;其次为俄罗斯、美国、新加坡,分别有7个,4个,3个;

团伙受害主机规模

基于2021-12-20至2021-12-28期间的数据,按照攻击团伙攻击的受害主机数量进行统计:

本次活跃的33个攻击团伙当中,受害主机数量最多的团伙为SYS-SG–030,该团伙包含1台位于俄罗斯的攻击主机(195.54.160.149),一共有1655台不同受害主机收到攻击。

Top3团伙详细信息

按照2021-12-20至2021-12-28期间Log4j2系统漏洞利用团伙控制主机的数量统计结果,挑选受害主机数量TOP3的团伙进行详细分析:

SYS-SG-030

基本信息:

SYS-SG-030团伙是2021-12-23发现的系统漏洞利用团伙,该团伙包含1个位于俄罗斯的CC主机:195.54.160.149,NTI标签为:漏洞利用、扫描探测、Web攻击、矿机、暴力破解;发现的主要攻击手段为:Log4j2漏洞攻击;

受害主机分析:

一共有1655台不同受害主机受到SYS-SG-030攻击,对受害主机分析如下:

受害主机地域信息统计

地域信息数量
中国-陕西省108
中国-湖北省94
中国-广西壮族自治区67
中国-安徽省61
中国-新疆维吾尔自治区60
中国-广东省59
中国-江苏省54
中国-黑龙江省37
中国-福建省25
中国-浙江省25
中国-北京市23
中国-甘肃省17
中国-上海市12
中国-江西省11
中国-山东省7
中国-河南省4
中国-山西省3
中国-湖南省2
中国-海南省1
中国-河北省1
中国-吉林省1

受害主机行业统计

行业数量
未知1309
企业194
教育医疗100
运营商39
金融18
政府综合14
政务4

团伙活动趋势分析:

统计团伙活动时间段如下(事件数量)

由上图可知,SYS-SG-030团伙主要活动时间集中于17:00-21:00 

SYS-SG-007

基本信息:

SYS-SG-007团伙是2021-12-23发现的系统漏洞利用团伙,该团伙包含1个位于美国的攻击主机:147.182.202.30,NTI标签为:拒绝服务、扫描探测、漏洞利用、暴力破解;发现的主要攻击手段为:Log4j2漏洞攻击;

 受害主机分析:

一共有449台不同受害主机受到SYS-SG-007的攻击,对受害主机分析如下:

受害主机地域信息统计

地域信息数量
中国-陕西39
中国-安徽17
中国-江苏16
中国-广东15
中国-上海10
中国-浙江6
中国-福建5
中国-新疆5
中国-湖北4
中国-黑龙江4
中国-河南3
中国-北京3
中国-山西2
中国-云南2
中国-海南1
中国-江西1
中国-甘肃1

受害主机行业统计

行业数量
未知301
企业61
政务51
教育医疗24
金融7
运营商4
能源1

团伙活动趋势分析

统计团伙活动时间段如下(事件数量)

由上图可知,SYS-SG-007团伙主要活动时间集中于7:00-11:00。

SYS-SG-018

基本信息:

SYS-SG-018团伙是2021-12-23发现的系统漏洞利用团伙,该团伙包含1个位于德国的主机:78.31.71.248,NTI标签为:僵尸网络、扫描探测、漏洞利用、矿机、暴力破解;发现的主要攻击手段为:Log4j2漏洞攻击;

受害主机分析:

一共有377台不同受害主机受到SYS-SG-018的攻击,对受害主机分析如下:

受害主机地域信息统计

地域信息数量
中国-陕西19
中国-黑龙江17
中国-新疆16
中国-广东10
中国-北京9
中国-安徽9
中国-云南7
中国-湖北5
中国-福建4
中国-山东3
中国-青海2
中国-吉林1
中国-山西1
中国-河南1
中国-湖南1

受害主机行业统计

行业数量
未知262
企业38
政务34
运营商23
金融11
教育医疗9

团伙活动趋势分析:

统计团伙活动时间段如下(事件数量)

由上图可知,SYS-SG-018团伙主要活动时间集中于17:00-1:00。

四、受害目标分析

2021-12-20至2021-12-28期间,一共发现5066台不同主机受到Log4j2系统漏洞利用团伙的攻击。

受害目标地域分布

按照受害主机地域分布进行统计,受害主机地域分布如下图:

 由上图知,一共有25个不同省市的主机受到影响,陕西省的受害主机数量最多,占比14%,其次为广东省和湖北省分别为12%和11%。

受害目标行业分布

按照受害主机行业分布进行统计,受害主机行业分布如下图:

由上图知,共有7个行业受到影响,企业受害主机最多,占比36%,其次为政务和教育医疗,为31%和18%。

受害目标通信行为时间分析统计所有受害主机受到攻击的时间段(事件数量)

由上图可知,所有团伙主要活动时间集中于17:00-1:00。

版权声明

本站“技术博客”所有内容的版权持有者为绿盟科技集团股份有限公司(“绿盟科技”)。作为分享技术资讯的平台,绿盟科技期待与广大用户互动交流,并欢迎在标明出处(绿盟科技-技术博客)及网址的情形下,全文转发。
上述情形之外的任何使用形式,均需提前向绿盟科技(010-68438880-5462)申请版权授权。如擅自使用,绿盟科技保留追责权利。同时,如因擅自使用博客内容引发法律纠纷,由使用者自行承担全部法律责任,与绿盟科技无关。


文章来源: http://blog.nsfocus.net/log4j2-789/
如有侵权请联系:admin#unsafe.sh