一種基于自頂向下的ApacheLog4j2遠程代碼執行語句構造方法技術

本發明專利技術提供一種基于自頂向下的Apache Log4j2遠程代碼執行語句構造方法，在進行網絡安全攻防研究時，需要生成大量存在混淆數據的Apache Log4j2遠程代碼執行語句。本發明專利技術基于自頂向下、逐步混淆等方法，能夠為單條Apache Log4j2遠程代碼執行語句生成大量的混淆語句。Log4j2遠程代碼執行語句生成大量的混淆語句。Log4j2遠程代碼執行語句生成大量的混淆語句。

【技術實現步驟摘要】
一種基于自頂向下的Apache Log4j2遠程代碼執行語句構造方法


[0001]本專利技術屬于網絡安全
，涉及遠程命令執行注入領域，具體地涉及一種基于自頂向下的Apache Log4j2遠程代碼執行語句構造方法。

技術介紹

[0002]2021年12月9日，Apache Log4j2遠程代碼執行漏洞(CVE
?
2021
?
44228)公開。Apache Log4j從2.0
?
beta9到2.15.0(不包括安全版本2.12.2，2.12.3，和2.3.1)的全版本都存在遠程代碼執行漏洞，攻擊者使用“${}”標識符，觸發JNDI注入漏洞，可在未授權的情況下遠程執行代碼，獲得服務器控制權限。該漏洞危害程度高、利用難度低、影響范圍大。
[0003]目前國內外對于Apache Log4j2遠程代碼執行漏洞的應急方法大體相近，大都建議更新Log4j2至2.15.1
?
rc2及以上的版本，進而從根本上防御Apache Log4j2遠程代碼執行漏洞。同時對于部分暫時無法更新Log4j2版本的用戶，大都采用部署使用第三方防火墻產品的方式進行安全防護，并更新WAF、RASP規則等，實時監測網絡流量，匹配過濾惡意請求。
[0004]但是由于Apache Log4j2遠程代碼執行漏洞特性，Web應用防火墻規則仍然存在缺陷。因而構建多樣化的Apache Log4j2遠程代碼執行漏洞的有效荷載，對Web應用防火墻規則優化存在重要意義。
專利
技術實現思路

[0005]本專利技術的目的在于針對現有技術的不足，提供了一種基于自頂向下的Apache Log4j2遠程代碼執行語句構造方法。
[0006]本專利技術的目的是通過如下技術方案實現的：
[0007]一種基于自頂向下的Apache Log4j2遠程代碼執行語句構造方法，包括如下步驟：
[0008]步驟一：構造數據混淆規則集G，包括等價替換規則集G
E
、敏感字符替換規則集G
c
和無意義數據集G
U
，即G＝(G
E
,G
c
,G
U
)；
[0009]步驟二：將Apache Log4j2遠程代碼執行語句S分為4個部分：標識符“${}”、jndi屬性名、jndi可訪問服務、訪問服務器IP地址，分別命名為S
L
，S
A
，S
AS
和S
IP
，即S＝{S
L
,S
A
,S
AS
,S
IP
}；
[0010]步驟三：利用數據混淆規則集G，對S
A
、S
AS
和S
IP
進行自頂向下的逐層細粒度混淆，依次得到對S
A
、S
AS
和S
IP
細粒度混淆完成的語句T
A
、T
AS
和T
IP
，最終獲得細粒度混淆完成的Apache Log4j2遠程代碼執行語句T＝{S
L
,T
A
,T
AS
,T
IP
}。
[0011]進一步地，利用數據混淆規則集G，對S
A
、S
AS
和S
IP
進行自頂向下的逐層細粒度混淆時，同時利用等價替換規則集G
E
、敏感字符替換規則集G
c
和無意義數據集G
U
進行逐層細粒度混淆。
[0012]進一步地，所述等價替換規則集合G
E
，用于在Apache Log4j2遠程代碼執行語句
中，生成多樣化的惡意數據；
[0013]所述敏感字符替換規則集合G
c
，用于Apache Log4j2遠程代碼執行語句中敏感字符的替換；
[0014]所述無意義數據集合G
U
，用于增加Apache Log4j2遠程代碼執行語句邏輯復雜性。
[0015]進一步地，所述步驟三中，由S
A
得到細粒度混淆完成的語句T
A
的子步驟如下：
[0016](1)首先對S
A
隨機分割成n個字符長度不小于1的字符串集合A，即A＝{A
i
|＝1,2,3,
…
,n}，其中，n＜len(S
A
)；
[0017](2)根據等價替換規則集G
E
，在A中的每個元素的A
i
中插入可用的惡意數據，生成新的字符串集合A
E
，即A
E
＝{A
Ei
|＝1,2,3,
…
,n}；
[0018](3)根據敏感字符替換規則集G
c
，對A
E
中的每個元素的A
Ei
中的敏感字符進行替換，降低A
R
的惡意程度，生成新的字符串集合A
C
，即A
C
＝{A
Ci
|＝1,2,3,
…
,n}；
[0019](4)根據無意義數據集G
U
，在A
C
中的每個元素的A
Ci
插入可用的惡意數據，生成新的字符串集合A
U
，即A
U
＝{A
Ui
|＝1,2,3,
…
,n}；
[0020](5)最后將字符串集合A
U
，拼接生成對S
A
的細粒度混淆完成的字符串T
A
；
[0021]由S
AS
到T
AS
、由S
IP
到T
IP
的子步驟與S
A
得到T
A
相同。
[0022]進一步地，根據等價替換規則集G
E
，在A中的每個元素的A
i
中插入可用的惡意數據時，選用多種等價替換規則逐層疊加插入惡意數據，生成新的字符串集合A
E
。
[0023]進一步地，根據無意義數據集G
U
，在A
C
中的每個元素的A
Ci
插入可用的惡意數據，選擇多種無意義數據插入，生成新的字符串集合A
U
。
[0024]與現有技術相比，本專利技術具有如下有益效果：
[0025](1)字符串級別的處理無法支持對Apache Log4j2遠程代碼執行語句細粒度的分析混淆，本專利技術使用自頂向下的思想方法，將Apache Log4j2遠程代碼執行語句逐步分解，逐本文檔來自技高網...

【技術保護點】

【技術特征摘要】
1.一種基于自頂向下的Apache Log4j2遠程代碼執行語句構造方法，其特征在于，包括如下步驟：步驟一：構造數據混淆規則集G，包括等價替換規則集G
E
、敏感字符替換規則集G
c
和無意義數據集G
U
，即G＝(G
E
，G
c
，G
U
)；步驟二：將Apache Log4j2遠程代碼執行語句S分為4個部分：標識符“${}”、jndi屬性名、jndi可訪問服務、訪問服務器IP地址，分別命名為S
L
，S
A
，S
AS
和S
IP
，即S＝{S
L
，S
A
，S
AS
，S
IP
}；步驟三：利用數據混淆規則集G，對S
A
、S
AS
和S
IP
進行自頂向下的逐層細粒度混淆，依次得到對S
A
、S
AS
和S
IP
細粒度混淆完成的語句T
A
、T
AS
和T
IP
，最終獲得細粒度混淆完成的Apache Log4j2遠程代碼執行語句T＝{S
L
，T
A
，T
AS
，T
IP
}。2.根據權利要求1所述的基于自頂向下的Apache Log4j2遠程代碼執行語句構造方法，其特征在于，利用數據混淆規則集G，對S
A
、S
AS
和S
IP
進行自頂向下的逐層細粒度混淆時，同時利用等價替換規則集G
E
、敏感字符替換規則集G
c
和無意義數據集G
U
進行逐層細粒度混淆。3.根據權利要求1所述的基于自頂向下的Apache Log4j2遠程代碼執行語句構造方法，其特征在于，所述等價替換規則集合G
E
，用于在Apache Log4j2遠程代碼執行語句中，生成多樣化的惡意數據；所述敏感字符替換規則集合Gc，用于Apache Log4j2遠程代碼執行語句中敏感字符的替換；所述無意義數據集合G
U
，用于增加Apache Log4j2遠程代碼執行語句邏輯復雜性。4.根據權利要求2所述的基于自頂向下的Apache Log4j2遠...

【專利技術屬性】
技術研發人員：呂萍，劉智揚，王余，譚宇辰，葛方雋，魏啟超，
申請(專利權)人：杭州中爾網絡科技有限公司，
類型：發明
國別省市：