日前，BitDefender 宣稱發(fā)現(xiàn)首個通過 Log4Shell 漏洞直接安裝的勒索軟件，該漏洞利用程序會下載一個 Java 類hxxp://3.145.115[.]94/Main.class(該類由 Log4j 應(yīng)用程序加載和執(zhí)行)文件。加載后，它會從同一臺服務(wù)器下載一個 .NET 二進(jìn)制文件，該文件是一個安裝名為“Khonsari”的新勒索軟件。

這個名字也被用作加密文件的擴(kuò)展名和勒索通知，如圖1所示。

圖1 Khonsari贖金票據(jù)

在此后的攻擊中，BitDefender 注意到攻擊者使用相同的服務(wù)器來分發(fā) Orcus 遠(yuǎn)程訪問木馬，有安全專家認(rèn)為這可能是個數(shù)據(jù)擦除器(Wiper)。Emsisoft 分析師Brett Callow指出，該勒索軟件以路易斯安那州一家古董店老板的聯(lián)系信息命名并使用其聯(lián)系信息，而不是使用攻擊者自己的信息。因此，尚不清楚此人是勒索軟件攻擊的實(shí)際受害者還是誘餌。

不管是什么原因，由于該惡意軟件不包含攻擊者的有效聯(lián)系信息，Callow認(rèn)為這是一個擦除器而不是勒索軟件。雖然這可能是首個利用Log4j 漏洞直接安裝勒索軟件(或者擦除器)的實(shí)例，但在此之前微軟已監(jiān)測到了用于部署 Cobalt Strike 信標(biāo)的漏洞利用。因此，更高級的勒索軟件攻擊很可能已經(jīng)將Log4Shell漏洞利用作為一種攻擊手段。

【本文是51CTO專欄作者“安全牛”的原創(chuàng)文章，轉(zhuǎn)載請通過安全牛（微信公眾號id:gooann-sectv）獲取授權(quán)】

戳這里，看該作者更多好文