CN115712901A

CN115712901A - 一种基于自顶向下的Apache Log4j2远程代码执行语句构造方法

Info

Publication number: CN115712901A
Application number: CN202211484583.0A
Authority: CN
Inventors: 吕萍; 刘智扬; 王余; 谭宇辰; 葛方隽; 魏启超
Original assignee: Hangzhou Zhonger Network Technology Co ltd
Current assignee: Hangzhou Zhonger Network Technology Co ltd
Priority date: 2022-11-24
Filing date: 2022-11-24
Publication date: 2023-02-24

Abstract

本发明提供一种基于自顶向下的Apache Log4j2远程代码执行语句构造方法，在进行网络安全攻防研究时，需要生成大量存在混淆数据的Apache Log4j2远程代码执行语句。本发明基于自顶向下、逐步混淆等方法，能够为单条Apache Log4j2远程代码执行语句生成大量的混淆语句。

Description

一种基于自顶向下的Apache Log4j2远程代码执行语句构造方法

技术领域

本发明属于网络安全技术领域，涉及远程命令执行注入领域，具体地涉及一种基于自顶向下的Apache Log4j2远程代码执行语句构造方法。

背景技术

2021年12月9日，Apache Log4j2远程代码执行漏洞(CVE-2021-44228)公开。Apache Log4j从2.0-beta9到2.15.0(不包括安全版本2.12.2，2.12.3，和2.3.1)的全版本都存在远程代码执行漏洞，攻击者使用“${}”标识符，触发JNDI注入漏洞，可在未授权的情况下远程执行代码，获得服务器控制权限。该漏洞危害程度高、利用难度低、影响范围大。

目前国内外对于Apache Log4j2远程代码执行漏洞的应急方法大体相近，大都建议更新Log4j2至2.15.1-rc2及以上的版本，进而从根本上防御Apache Log4j2远程代码执行漏洞。同时对于部分暂时无法更新Log4j2版本的用户，大都采用部署使用第三方防火墙产品的方式进行安全防护，并更新WAF、RASP规则等，实时监测网络流量，匹配过滤恶意请求。

但是由于Apache Log4j2远程代码执行漏洞特性，Web应用防火墙规则仍然存在缺陷。因而构建多样化的Apache Log4j2远程代码执行漏洞的有效荷载，对Web应用防火墙规则优化存在重要意义。

发明内容

本发明的目的在于针对现有技术的不足，提供了一种基于自顶向下的ApacheLog4j2远程代码执行语句构造方法。

本发明的目的是通过如下技术方案实现的：

一种基于自顶向下的Apache Log4j2远程代码执行语句构造方法，包括如下步骤：

步骤一：构造数据混淆规则集G，包括等价替换规则集G_E、敏感字符替换规则集G_c和无意义数据集G_U，即G＝(G_E,G_c,G_U)；

步骤二：将Apache Log4j2远程代码执行语句S分为4个部分：标识符“${}”、jndi属性名、jndi可访问服务、访问服务器IP地址，分别命名为S_L，S_A，S_AS和S_IP，即S＝{S_L,S_A,S_AS,S_IP}；

步骤三：利用数据混淆规则集G，对S_A、S_AS和S_IP进行自顶向下的逐层细粒度混淆，依次得到对S_A、S_AS和S_IP细粒度混淆完成的语句T_A、T_AS和T_IP，最终获得细粒度混淆完成的Apache Log4j2远程代码执行语句T＝{S_L,T_A,T_AS,T_IP}。

进一步地，利用数据混淆规则集G，对S_A、S_AS和S_IP进行自顶向下的逐层细粒度混淆时，同时利用等价替换规则集G_E、敏感字符替换规则集G_c和无意义数据集G_U进行逐层细粒度混淆。

进一步地，所述等价替换规则集合G_E，用于在Apache Log4j2远程代码执行语句中，生成多样化的恶意数据；

所述敏感字符替换规则集合G_c，用于Apache Log4j2远程代码执行语句中敏感字符的替换；

所述无意义数据集合G_U，用于增加Apache Log4j2远程代码执行语句逻辑复杂性。

进一步地，所述步骤三中，由S_A得到细粒度混淆完成的语句T_A的子步骤如下：

(1)首先对S_A随机分割成n个字符长度不小于1的字符串集合A，即A＝{A_i|＝1,2,3,…,n}，其中，n＜len(S_A)；

(2)根据等价替换规则集G_E，在A中的每个元素的A_i中插入可用的恶意数据，生成新的字符串集合A_E，即A_E＝{A_Ei|＝1,2,3,…,n}；

(3)根据敏感字符替换规则集G_c，对A_E中的每个元素的A_Ei中的敏感字符进行替换，降低A_R的恶意程度，生成新的字符串集合A_C，即A_C＝{A_Ci|＝1,2,3,…,n}；

(4)根据无意义数据集G_U，在A_C中的每个元素的A_Ci插入可用的恶意数据，生成新的字符串集合A_U，即A_U＝{A_Ui|＝1,2,3,…,n}；

(5)最后将字符串集合A_U，拼接生成对S_A的细粒度混淆完成的字符串T_A；

由S_AS到T_AS、由S_IP到T_IP的子步骤与S_A得到T_A相同。

进一步地，根据等价替换规则集G_E，在A中的每个元素的A_i中插入可用的恶意数据时，选用多种等价替换规则逐层叠加插入恶意数据，生成新的字符串集合A_E。

进一步地，根据无意义数据集G_U，在A_C中的每个元素的A_Ci插入可用的恶意数据，选择多种无意义数据插入，生成新的字符串集合A_U。

与现有技术相比，本发明具有如下有益效果：

(1)字符串级别的处理无法支持对Apache Log4j2远程代码执行语句细粒度的分析混淆，本发明使用自顶向下的思想方法，将Apache Log4j2远程代码执行语句逐步分解，逐层混淆，完成对语句原子级别的混淆操作；

(2)本发明构建类似树形结构的元素存储方式，可以灵活地处理分析层次的问题，可动态地进行混淆操作。

附图说明

图1是Apache Log4j2远程代码执行语句细粒度混淆的流程图。

图2是对jndi属性名S_A自顶向下、逐层细粒度混淆的例子。

具体实施方式

下面根据附图和优选实施例详细描述本发明，本发明的目的和效果将变得更加明白，应当理解，此处所描述的具体实施例仅仅用以解释本发明，并不用于限定本发明。

本发明提供的基于自顶向下的Apache Log4j2远程代码执行语句构造方法，通过分解Apache Log4j2远程代码执行语句，随机细粒度拆分，逐层混淆，构造多样化的ApacheLog4j2远程代码执行语句样本。

如图1所示，本发明的基于自顶向下的Apache Log4j2远程代码执行语句构造方法，具体包括以下步骤：

(1)构造数据混淆规则集G，包括等价替换规则集G_E、敏感字符替换规则集G_c和无意义数据集G_U，即G＝(G_E,G_c,G_U)；

(2)将Apache Log4j2远程代码执行语句S，分为4个部分：标识符“${}”、jndi属性名、jndi可访问服务、访问服务器IP地址，分别命名为S_L，S_A，S_AS和S_IP，即S＝{S_L,S_A,S_AS,S_IP}；

例如${jndi:ldap://127.0.0.1/}，分为4个部分：标识符“${}”、jndi属性名jndi、jndi可访问服务ldap、访问服务器IP地址127.0.0.1，分别命名为S_L，S_A，S_AS和S_IP，最终得到S＝{${},jndi,ldap,127.0.0.1}；

(3)利用数据混淆规则集G，其中，数据混淆规则集中的三个规则子集S_A、S_AS和S_IP选择一个或多个进行自顶向下的逐层细粒度混淆且使用不存在先后顺序，且在混淆时，可以选取等价替换规则集G_E、敏感字符替换规则集G_c和无意义数据集G_U中的任意一种或多种进行逐层混淆，最终获得细粒度混淆完成的Apache Log4j2远程代码执行语句T＝{S_L,T_A,T_AS,T_IP}。

本实施例中选取三个规则子集都使用的情况，且同时利用G_E、G_c、G_U进行混淆，即混淆程度最高的情况。下面以对S_A进行自顶向下的逐层细粒度混淆，得到细粒度混淆完成的语句T_A为例介绍混淆过程，如图2所示，包括：

(3.1)首先对S_A随机分割成n个字符长度不小于1的字符串集合A，即A＝{A_i|i＝1,2,3,…,n}，其中，n＜len(S_A)，如本例中的jndi属性名kndi，可分为A＝{j,nd,i}；

(3.2)根据等价替换规则集G_E，在A中的每个元素的A_i中选用一种或多种可用的等价替换规则逐层叠加插入恶意数据，生成新的字符串集合A_E，即A_E＝{${:-j},${data:"nd"},${:${data:"-j"}}}；

(3.3)根据敏感字符替换规则集G_c，对A_E中的每个元素的A_Ei中的敏感字符进行替换，降低A_E的恶意程度，生成新的字符串集合A_C，即A_C＝{${${sys:path.separator}-j},${data:"nd"},${:${data:"-j"}}}；

(3.4)根据无意义数据集G_U，在A_C中的每个元素的A_Ci中选择一种或多种可用的无意义数据插入，生成新的字符串集合A_U，即A_U＝{${${sys:path.separator}-j},${da${sys:sun.cpu.isalist}ta:"nd"},${:${data:"-j"}}}；

(3.5)最后将字符串集合A_U，拼接生成对S_A的细粒度混淆完成的字符串T_A。

按照(3)中描述的方法，利用数据混淆规则集G，对S_AS和S_IP进行自顶向下的逐层细粒度混淆，依次得到对S_AS和S_IP细粒度混淆完成的语句T_AS和T_IP，最终获得细粒度混淆完成的Apache Log4j2远程代码执行语句T＝{S_L,T_A,T_AS,T_IP}。

本领域普通技术人员可以理解，以上所述仅为发明的优选实例而已，并不用于限制发明，尽管参照前述实例对发明进行了详细的说明，对于本领域的技术人员来说，其依然可以对前述各实例记载的技术方案进行修改，或者对其中部分技术特征进行等同替换。凡在发明的精神和原则之内，所做的修改、等同替换等均应包含在发明的保护范围之内。

Claims

1.一种基于自顶向下的Apache Log4j2远程代码执行语句构造方法，其特征在于，包括如下步骤：

步骤一：构造数据混淆规则集G，包括等价替换规则集G_E、敏感字符替换规则集G_c和无意义数据集G_U，即G＝(G_E，G_c，G_U)；

步骤二：将Apache Log4j2远程代码执行语句S分为4个部分：标识符“${}”、jndi属性名、jndi可访问服务、访问服务器IP地址，分别命名为S_L，S_A，S_AS和S_IP，即S＝{S_L，S_A，S_AS，S_IP}；

步骤三：利用数据混淆规则集G，对S_A、S_AS和S_IP进行自顶向下的逐层细粒度混淆，依次得到对S_A、S_AS和S_IP细粒度混淆完成的语句T_A、T_AS和T_IP，最终获得细粒度混淆完成的ApacheLog4j2远程代码执行语句T＝{S_L，T_A，T_AS，T_IP}。

2.根据权利要求1所述的基于自顶向下的Apache Log4j2远程代码执行语句构造方法，其特征在于，利用数据混淆规则集G，对S_A、S_AS和S_IP进行自顶向下的逐层细粒度混淆时，同时利用等价替换规则集G_E、敏感字符替换规则集G_c和无意义数据集G_U进行逐层细粒度混淆。

3.根据权利要求1所述的基于自顶向下的Apache Log4j2远程代码执行语句构造方法，其特征在于，所述等价替换规则集合G_E，用于在Apache Log4j2远程代码执行语句中，生成多样化的恶意数据；

所述敏感字符替换规则集合Gc，用于Apache Log4j2远程代码执行语句中敏感字符的替换；

4.根据权利要求2所述的基于自顶向下的Apache Log4j2远程代码执行语句构造方法，其特征在于，所述步骤三中，由S_A得到细粒度混淆完成的语句T_A的子步骤如下：

(1)首先对S_A随机分割成n个字符长度不小于1的字符串集合A，即A＝{A_i|i＝1，2，3，...，n}，其中，n＜len(S_A)；

(2)根据等价替换规则集G_E，在A中的每个元素的A_i中插入可用的恶意数据，生成新的字符串集合A_E，即A_E＝{A_Ei|i＝1，2，3，...，n}；

(3)根据敏感字符替换规则集G_c，对A_E中的每个元素的A_Ei中的敏感字符进行替换，降低A_E的恶意程度，生成新的字符串集合A_C，即A_C＝{A_Ci|i＝1，2，3，...，n}；

(4)根据无意义数据集G_U，在A_C中的每个元素的A_Ci插入可用的恶意数据，生成新的字符串集合A_U，即A_U＝{A_Ui|i＝1，2，3，...，n}；

(5)最后将字符串集合A_U，拼接生成对S_A的细粒度混淆完成的字符串T_A；由S_AS到T_AS、由S_IP到T_IP的子步骤与S_A得到T_A相同。

5.根据权利要求4所述的基于自顶向下的Apache Log4j2远程代码执行语句构造方法，其特征在于，根据等价替换规则集G_E，在A中的每个元素的A_i中插入可用的恶意数据时，选用多种等价替换规则逐层叠加插入恶意数据，生成新的字符串集合A_E。

6.根据权利要求4所述的基于自顶向下的Apache Log4j2远程代码执行语句构造方法，其特征在于，根据无意义数据集G_U，在A_C中的每个元素的A_Ci插入可用的恶意数据，选择多种无意义数据插入，生成新的字符串集合A_U。