2021年12月9日晚，開源項(xiàng)目ApacheLog4j 2的一個(gè)遠(yuǎn)程代碼執(zhí)行漏洞的利用細(xì)節(jié)被公開。隨后該事件迅速發(fā)酵，橫掃大半個(gè)互聯(lián)網(wǎng)，由于Log4j屬于java日志記錄的常用基礎(chǔ)組件，被廣泛使用，所以受災(zāi)面也在迅速擴(kuò)大。在各大廠商忙于打補(bǔ)丁的這個(gè)周末，360安全大腦也檢測到了大量針對個(gè)人用戶的攻擊事件，其中MinecraftJava版便是其中之一。

針對游戲玩家的攻擊

360安全大腦監(jiān)測到，有黑客疑似利用最新曝光的log4j2漏洞對Minecraft玩家發(fā)起攻擊。攻擊最早發(fā)生于12月10日，早期攻擊規(guī)模較小，第一天檢測到的受攻擊玩家數(shù)量在100左右。12月11日12時(shí)起，黑客發(fā)起大規(guī)模攻擊，從12時(shí)開始到目前，平均每小時(shí)有近5000個(gè)Mincraft玩家遭到攻擊，攻擊最高峰時(shí)有超過10000個(gè)玩家遭到攻擊。

受害玩家數(shù)量變化趨勢

網(wǎng)上也出現(xiàn)有該漏洞利用的攻擊演示，僅僅在游戲的在線聊天中，發(fā)送一條帶漏洞觸發(fā)指令的消息，就可以對收到這條消息的用戶發(fā)起攻擊，攻擊發(fā)起非常容易。

在漏洞利用成功后，黑客通過漏洞觸發(fā)遠(yuǎn)程代碼執(zhí)行，之后利用本機(jī)的mshta下載并執(zhí)行遠(yuǎn)程hta文件。

受攻擊機(jī)器進(jìn)程鏈

該hta文件實(shí)際是個(gè)用cactusTorch框架生成的遠(yuǎn)控木馬，利用該木馬，攻擊者就可以完全控制當(dāng)前用戶的電腦。

此次攻擊的部分IOC

hxxp://114.132.231.19/A.hta

hxxp://114.132.231.19/O.hta

hxxp://114.132.231.19/2.hta

hxxp://114.132.231.19/OK1.hta

hxxp://114.132.231.19/OK1.hta

hxxp://114.132.231.19/hfs.exe

cc.wdnmdnmsl.xyz

解決方案

對于Minecraft漏洞問題，廠商也緊急發(fā)布了修復(fù)版本和修復(fù)建議。主要內(nèi)容如下：

1．使用官方版本的，盡快升級最新版本，可以通過重啟游戲來升級。2．非官方版本的，注意第三方的升級信息。3．使用Java版服務(wù)器的，升級版本到1.18.1

官方詳細(xì)建議地址：

https://www.minecraft.net/zh-hans/article/important-message–security-vulnerability-java-edition

對于此次攻擊事件，廣大普通用戶，也應(yīng)該盡快對個(gè)人電腦進(jìn)行加固。360安全大腦在此也給出如下安全建議：

臨時(shí)應(yīng)急方案

修改Log4j配置：

log4j2.formatMsgNoLookups=True

設(shè)置JVM啟動(dòng)參數(shù)：

-Dlog4j2.formatMsgNoLookups=true

設(shè)置環(huán)境變量：

FORMAT_MESSAGES_PATTERN_DISABLE_LOOKUPS值為true

360安全大腦防護(hù)

已安裝了360客戶端的用戶，得益于360安全大腦強(qiáng)大的云端智能識別能力，無需升級即可正常識別并攔截此類攻擊。

同時(shí)360還更新了高危漏洞免疫工具，在#官網(wǎng)可以下載綠色版本直接運(yùn)行，通過漏洞免疫緩解類似攻擊。