雖然概念驗證代碼是上周四發(fā)布的，但有證據(jù)表明已經(jīng)有黑客在 2 周前利用 Log4Shell 漏洞發(fā)起攻擊了。根據(jù) Cloudflare 和 Cisco Talos 的數(shù)據(jù)，第一批攻擊是在 12 月 1 日和 12 月 2 日觀察到的。

[[440249]]

雖然大規(guī)模的攻擊利用是在上周末開始的，但這一啟示意味著安全團隊需要擴大他們的事件響應調(diào)查，為了安全起見針對他們的網(wǎng)絡檢查要追溯到 11 月初。目前，濫用 Log4Shell 漏洞的攻擊仍然是溫和(tame)的--如果這個詞甚至可以用來描述對安全漏洞的濫用。

大量的攻擊來自于專業(yè)的密碼挖掘和 DDoS 僵尸網(wǎng)絡，如 Mirai、Muhstik 和 Kinsing，它們通常在所有人之前率先利用任何有意義的企業(yè)漏洞。但在周末的一篇博客文章中，微軟表示，它開始觀察到 Log4Shell 被用來部署網(wǎng)絡外殼和Cobalt Strike信標(后門)的第一個實例。

CISA、NSA和一些網(wǎng)絡安全公司在過去一年中多次警告說，網(wǎng)絡外殼和Cobalt Strike信標的組合通常是民族國家集團和勒索軟件團伙在攻擊中部署的第一個工具，因此，雖然未經(jīng)證實，但如果我們在今天結(jié)束前得到第一個濫用Log4Shell的勒索軟件集團，不要感到驚訝。

現(xiàn)在，對易受Log4Shell漏洞影響的互聯(lián)網(wǎng)連接系統(tǒng)的掃描絕對是通過屋頂。安全公司Kryptos Logic周日表示，它檢測到超過10,000個不同的IP地址探測互聯(lián)網(wǎng)，這是上周五探測Log4Shell的系統(tǒng)數(shù)量的100倍。

并非所有這些流量都是壞的，因為也有白帽安全研究人員和安全公司在尋找易受攻擊的系統(tǒng)，但大的情況是，威脅者已經(jīng)聞到了血腥味，IT管理員應該看看他們基于Java的系統(tǒng)是否有易受Log4Shell攻擊。