[[440434]]

近日，Apache Log4j 2 被披露存在潛在反序列化代碼執(zhí)行漏洞，隨后，Log4Shell漏洞被惡意利用的情況被大量機(jī)構(gòu)監(jiān)測發(fā)現(xiàn)：

• SANS 研究所報(bào)告稱，已發(fā)現(xiàn)該漏洞被利用來部署挖礦軟件。

• Cisco 的 Talos 研究和情報(bào)部門稱已經(jīng)看到APT 組織以及 Mirai 等僵尸網(wǎng)絡(luò)的利用企圖。

• 微軟已經(jīng)觀察到安裝加密貨幣礦工和 Cobalt Strike 有效載荷的漏洞利用嘗試，這些有效載荷可用于數(shù)據(jù)盜竊和橫向移動。

• 威脅情報(bào)公司 GreyNoise于 12 月 9 日開始看到利用該漏洞的攻擊嘗試，在武器化 PoC 攻擊可用后不久，它觀測到來自數(shù)百個(gè) IP 地址的攻擊嘗試。

• Bitdefender 表示，其蜜罐網(wǎng)絡(luò)已看到利用該漏洞的攻擊。

• 有跡象顯示， Apple 的 iCloud 服務(wù)和 Minecraft 服務(wù)器也存在被漏洞影響的可能。

目前，根據(jù)安全廠商和研究機(jī)構(gòu)的分析，已發(fā)現(xiàn)可利用Log4j漏洞的惡意軟件負(fù)載主要包括：

一、挖礦惡意軟件

根據(jù)Bleeping Computer Web 服務(wù)器訪問日志、GreyNoise 數(shù)據(jù)和研究人員的報(bào)告，該漏洞一經(jīng)發(fā)布，研究者就看到攻擊者利用 Log4Shell 漏洞執(zhí)行 shell 腳本來下載和安裝各種挖礦軟件，如圖1所示。

圖1 Kinsing Log4Shell 漏洞利用和解碼命令

該 shell 腳本從易受攻擊的設(shè)備中刪除競爭惡意軟件，然后下載并安裝 Kinsing 惡意軟件，該惡意軟件開始挖掘加密貨幣(見圖2)。

圖2 Kinsing 安裝程序腳本(來源：Bleeping Computer)

二、Mirai 和 Muhstik 僵尸網(wǎng)絡(luò)

Netlab 360 報(bào)告稱，攻擊者利用該漏洞在易受攻擊的設(shè)備上安裝 Mirai 和 Muhstik惡意軟件。這些惡意軟件家族將物聯(lián)網(wǎng)設(shè)備和服務(wù)器劫持到其僵尸網(wǎng)絡(luò)中，部署挖礦軟件或用來執(zhí)行大規(guī)模的 DDoS 攻擊。

Netlab 360 研究人員介紹道：“我們的 Anglerfish 和 Apacket 蜜罐已經(jīng)捕獲了 2 波利用 Log4j 漏洞發(fā)展僵尸網(wǎng)絡(luò)的攻擊，通過快速樣本分析發(fā)現(xiàn)，它們分別被用來發(fā)展Muhstik和Mirai僵尸網(wǎng)絡(luò)，均針對 Linux 設(shè)備。”

三、投放Cobalt Strike信標(biāo)

微軟威脅情報(bào)中心報(bào)告稱，Log4j 漏洞也被利用來投放 Cobalt Strike 信標(biāo)。Cobalt Strike 是一個(gè)合法的滲透測試工具包，紅隊(duì)人員可以在“受損”設(shè)備上部署代理或信標(biāo)，以執(zhí)行遠(yuǎn)程網(wǎng)絡(luò)監(jiān)視或執(zhí)行進(jìn)一步的命令。

但是，威脅行為者通常使用 Cobalt Strike 的破解版本作為網(wǎng)絡(luò)漏洞和勒索軟件攻擊的一部分。雖然沒有公開研究表明勒索軟件團(tuán)伙或其他威脅行為者利用 Log4j 漏洞，但部署 Cobalt Strike 信標(biāo)的事實(shí)意味著勒索軟件攻擊迫在眉睫。

四、掃描及信息公開

除了使用 Log4Shell 漏洞安裝惡意軟件之外，威脅參與者和研究人員還使用該漏洞來掃描易受攻擊的服務(wù)器并從中竊取信息：攻擊者使用該漏洞來強(qiáng)制易受攻擊的服務(wù)器訪問 URL 或?qū)卣{(diào)域執(zhí)行 DNS 請求。

這允許攻擊者或威脅行為者確定服務(wù)器是否易受攻擊，并將其用于未來攻擊、研究或試圖獲得漏洞賞金。有些攻擊者甚至利用漏洞未經(jīng)許可而泄露的包含服務(wù)器數(shù)據(jù)的環(huán)境變量，包括主機(jī)名、運(yùn)行 Log4j 服務(wù)的用戶名、操作系統(tǒng)名稱和操作系統(tǒng)版本號等。

基于以上威脅因素，安全牛提醒企業(yè)用戶有必要安裝最新版本的 Log4j 或修復(fù)受影響的應(yīng)用程序，以盡快緩解此漏洞。

【本文是51CTO專欄作者“安全牛”的原創(chuàng)文章，轉(zhuǎn)載請通過安全牛（微信公眾號id:gooann-sectv）獲取授權(quán)】

戳這里，看該作者更多好文