360CERT 发布 Log4j2 恶意荷载批量检测调查工具
报告编号:B6-2021-121502
报告来源:360CERT
报告作者:360CERT
更新日期:2021-12-15
简介
近日,Log4j2漏洞在互联网上呈现爆发性的攻击利用态势,黑客通过发送一条JNDI字符串荷载即可控制目标设备。据统计,该漏洞影响6万+流行开源软件,影响70%以上的企业线上业务系统,安全人员针对此类漏洞攻击情况的调查分析取证需要付出极大的精力。为此,360CERT根据实战攻防经验,特别为业界的安全人员研发了一款Log4j2恶意荷载分析工具,希望能够帮助安全人员减轻负担,提升调查响应效率!
命令行工具批量下载ldap字符串荷载包含的远程恶意class文件,class文件可进行进一步的分析调查取证。
目前只支持 ldap 链接的 class 下载,会下载到payloads/{host}/{uuid}.class
http://pub-shbt.s3.360.cn/cert-public-file/log4j-dl-darwin-amd64 http://pub-shbt.s3.360.cn/cert-public-file/log4j-dl-linux-386 http://pub-shbt.s3.360.cn/cert-public-file/log4j-dl-linux-amd64 http://pub-shbt.s3.360.cn/cert-public-file/log4j-dl-windows-386.exe http://pub-shbt.s3.360.cn/cert-public-file/log4j-dl-windows-amd64.exe
文件 md5
b0e20c5bf4a8e027cfb6e6ca85fd82fc log4j-dl-darwin-amd64 0ad55c116bfd75ee33f99830d153e874 log4j-dl-linux-386 3f56dbdbd7c9840481dae17667d5acd5 log4j-dl-linux-amd64 28b881491ed0487b0d64c908a600a350 log4j-dl-windows-386.exe 466d70eea544a8e0212adb0d7a3ab212 log4j-dl-windows-amd64.exe
使用
以 linux x64 为例
log4j-dl-linux-amd64 -t "ldap://127.0.0.1:233/Basic/ReverseShell/127.0.0.1/9999" log4j-dl-linux-amd64 -f 1.txt # 文件内容 cat 1.txt ldap://127.0.0.1:233/Basic/ReverseShell/127.0.0.1/9999 ldap://127.0.0.1:234/1195197842/asd
完整演示
./log4j-dl-linux-amd64 -t "ldap://192.168.55.102:10001/Exp" ____ __ ___ _____ ______ _____ _______ |___ \ / / / _ \ / ____| | ____| | __ \ |__ __| __) | / /_ | | | | | | | |__ | |__) | | | |__ < | '_ \ | | | | | | | __| | _ / | | ___) | | (_) | | |_| | | |____ | |____ | | \ \ | | |____/ \___/ \___/ \_____| |______| |_| \_\ |_| http://192.168.55.102:10000/Exp.class 2021/12/15 18:23:40 dump 'a72986b3-aa43-42a2-841b-7b25e2e40140.class'
javap -c ./payloads/192.168.55.102/a72986b3-aa43-42a2-841b-7b25e2e40140.class Compiled from "Exp.java" public class Exp { public Exp(); Code: 0: aload_0 1: invokespecial #1 // Method java/lang/Object."<init>":()V 4: return static {}; Code: 0: iconst_3 1: anewarray #2 // class java/lang/String 4: dup 5: iconst_0 6: ldc #3 // String bash 8: aastore 9: dup 10: iconst_1 11: ldc #4 // String -c 13: aastore 14: dup 15: iconst_2 16: ldc #5 // String gnome-calculator 18: aastore 19: astore_0 20: invokestatic #6 // Method java/lang/Runtime.getRuntime:()Ljava/lang/Runtime; 23: aload_0 24: invokevirtual #7 // Method java/lang/Runtime.exec:([Ljava/lang/String;)Ljava/lang/Process; 27: invokevirtual #8 // Method java/lang/Process.waitFor:()I 30: pop 31: goto 39 34: astore_0 35: aload_0 36: invokevirtual #10 // Method java/lang/Exception.printStackTrace:()V 39: return Exception table: from to target type 0 31 34 Class java/lang/Exception }
可以完整的看到该恶意 Class 在通过java.lang.Runtime.exec
执行gnome-calculator
演示地址:
https://asciinema.org/a/mkcOuClRBpKwDStjx48pxknKb
低调大师中文资讯倾力打造互联网数据资讯、行业资源、电子商务、移动互联网、网络营销平台。
持续更新报道IT业界、互联网、市场资讯、驱动更新,是最及时权威的产业资讯及硬件资讯报道平台。
转载内容版权归作者及来源网站所有,本站原创内容转载请注明来源。
- 上一篇
鸿蒙轻内核源码分析:MMU协处理器
摘要:本系列首先了解下ARM CP15协处理器的知识,接着介绍下协处理器相关的汇编指令,最后分析下MMU相关汇编代码。 本文分享自华为云社区《鸿蒙轻内核A核源码分析系列六 MMU协处理器》,作者:zhushy。 1、 ARM C15 协处理器 在ARM嵌入式应用系统中, 很多系统控制由ARM CP15协处理器来完成的。CP15协处理器包含编号0-15的16个32位的寄存器。例如,ARM处理器使用C15协处理器的寄存器来控制cache、TCM(Tightly-Coupled Memory)和存储器管理。CP15的各个寄存器的概要信息如下图,图片来自官方资料《ARM® Cortex™-A Series Version: 4.0 Programmer’s Guide》。 在这些C15寄存器中和MMU关系较大的有C2、C7、C17寄存器,这些寄存器的作用,从上图可以看出,分别是: CP15 C2寄存器 Memory protection and control registers,内存保护和控制寄存器,包含Translation Table Base Register 0 (TTBR0)、Tr...
- 下一篇
Chrome V8 引擎存在代码执行漏洞
赶紧点击上方话题进行订阅吧! 报告编号:B6-2021-121401 报告来源:360CERT 报告作者:360CERT 更新日期:2021-12-14 1 漏洞简述 2021年12月14日,360CERT监测发现Google发布了安全更新,漏洞编号为CVE-2021-4102,漏洞等级:高危,漏洞评分:8.5,该漏洞已存在在野利用。 Google Chrome是由Google开发的一款设计简单、高效的Web浏览工具,特点是简洁、快速。GoogleChrome支持多标签浏览,每个标签页面都在独立的“沙箱”内运行,在提高安全性的同时,一个标签页面的崩溃也不会导致其他标签页面被关闭。此外,Google Chrome基于更强大的JavaScript V8引擎,这是当前Web浏览器所无法实现的。 对此,360CERT建议广大用户及时将Google Chrome升级到最新版本。与此同时,请做好资产自查以及预防工作,以免遭受黑客攻击。 2 风险等级 360CERT对该漏洞的评定结果如下 评定方式 等级 威胁等级 高危 影响面 广泛 攻击者价值 高 利用难度 低 360CERT评分 8.5 3 漏洞...
相关文章
文章评论
共有0条评论来说两句吧...