近日,Apache Log4j 2被披露存在潛在反序列化代碼執(zhí)行漏洞,隨后,Log4Shell漏洞被惡意利用的情況被大量機構監(jiān)測發(fā)現(xiàn)。
01
SANS研究所報告稱,已發(fā)現(xiàn)該漏洞被利用來部署挖礦軟件。
02
Cisco的Talos研究和情報部門稱已經看到APT組織以及Mirai等僵尸網絡的利用企圖。
03
微軟已經觀察到安裝加密貨幣礦工和Cobalt Strike有效載荷的漏洞利用嘗試,這些有效載荷可用于數(shù)據(jù)盜竊和橫向移動。
04
威脅情報公司GreyNoise于12月9日開始看到利用該漏洞的攻擊嘗試,在武器化PoC攻擊可用后不久,它觀測到來自數(shù)百個IP地址的攻擊嘗試。
05
Bitdefender表示,其蜜罐網絡已看到利用該漏洞的攻擊。
06
有跡象顯示,Apple的iCloud服務和Minecraft服務器也存在被漏洞影響的可能。
目前,根據(jù)安全廠商和研究機構的分析,已發(fā)現(xiàn)可利用Log4j漏洞的惡意軟件負載主要包括:
一、挖礦惡意軟件
根據(jù)Bleeping Computer Web服務器訪問日志、GreyNoise數(shù)據(jù)和研究人員的報告,該漏洞一經發(fā)布,研究者就看到攻擊者利用Log4Shell漏洞執(zhí)行shell腳本來下載和安裝各種挖礦軟件,如圖1所示。
圖1 Kinsing Log4Shell漏洞利用和解碼命令
該shell腳本從易受攻擊的設備中刪除競爭惡意軟件,然后下載并安裝Kinsing惡意軟件,該惡意軟件開始挖掘加密貨幣(見圖2)。
圖2 Kinsing安裝程序腳本
(來源:Bleeping Computer)
二、Mirai和Muhstik僵尸網絡
Netlab 360報告稱,攻擊者利用該漏洞在易受攻擊的設備上安裝Mirai和Muhstik惡意軟件。這些惡意軟件家族將物聯(lián)網設備和服務器劫持到其僵尸網絡中,部署挖礦軟件或用來執(zhí)行大規(guī)模的DDoS攻擊。
Netlab 360研究人員介紹道:“我們的Anglerfish和Apacket蜜罐已經捕獲了2波利用Log4j漏洞發(fā)展僵尸網絡的攻擊,通過快速樣本分析發(fā)現(xiàn),它們分別被用來發(fā)展Muhstik和Mirai僵尸網絡,均針對Linux設備。”
三、投放Cobalt Strike信標
微軟威脅情報中心報告稱,Log4j漏洞也被利用來投放Cobalt Strike信標。Cobalt Strike是一個合法的滲透測試工具包,紅隊人員可以在“受損”設備上部署代理或信標,以執(zhí)行遠程網絡監(jiān)視或執(zhí)行進一步的命令。
但是,威脅行為者通常使用Cobalt Strike的破解版本作為網絡漏洞和勒索軟件攻擊的一部分。雖然沒有公開研究表明勒索軟件團伙或其他威脅行為者利用Log4j漏洞,但部署Cobalt Strike信標的事實意味著勒索軟件攻擊迫在眉睫。
四、掃描及信息公開
除了使用Log4Shell漏洞安裝惡意軟件之外,威脅參與者和研究人員還使用該漏洞來掃描易受攻擊的服務器并從中竊取信息:攻擊者使用該漏洞來強制易受攻擊的服務器訪問URL或對回調域執(zhí)行DNS請求。
這允許攻擊者或威脅行為者確定服務器是否易受攻擊,并將其用于未來攻擊、研究或試圖獲得漏洞賞金。有些攻擊者甚至利用漏洞未經許可而泄露的包含服務器數(shù)據(jù)的環(huán)境變量,包括主機名、運行Log4j服務的用戶名、操作系統(tǒng)名稱和操作系統(tǒng)版本號等。
基于以上威脅因素,安全牛提醒企業(yè)用戶有必要安裝最新版本的Log4j或修復受影響的應用程序,以盡快緩解此漏洞。