近日,Apache Log4j 2被披露存在潜在反序列化代码执行漏洞,随后,Log4Shell漏洞被恶意利用的情况被大量机构监测发现。
01
SANS研究所报告称,已发现该漏洞被利用来部署挖矿软件。
02
Cisco的Talos研究和情报部门称已经看到APT组织以及Mirai等僵尸网络的利用企图。
03
微软已经观察到安装加密货币矿工和Cobalt Strike有效载荷的漏洞利用尝试,这些有效载荷可用于数据盗窃和横向移动。
04
威胁情报公司GreyNoise于12月9日开始看到利用该漏洞的攻击尝试,在武器化PoC攻击可用后不久,它观测到来自数百个IP地址的攻击尝试。
05
Bitdefender表示,其蜜罐网络已看到利用该漏洞的攻击。
06
有迹象显示,Apple的iCloud服务和Minecraft服务器也存在被漏洞影响的可能。
目前,根据安全厂商和研究机构的分析,已发现可利用Log4j漏洞的恶意软件负载主要包括:
一、挖矿恶意软件
根据Bleeping Computer Web服务器访问日志、GreyNoise数据和研究人员的报告,该漏洞一经发布,研究者就看到攻击者利用Log4Shell漏洞执行shell脚本来下载和安装各种挖矿软件,如图1所示。
图1 Kinsing Log4Shell漏洞利用和解码命令
该shell脚本从易受攻击的设备中删除竞争恶意软件,然后下载并安装Kinsing恶意软件,该恶意软件开始挖掘加密货币(见图2)。
图2 Kinsing安装程序脚本
(来源:Bleeping Computer)
二、Mirai和Muhstik僵尸网络
Netlab 360报告称,攻击者利用该漏洞在易受攻击的设备上安装Mirai和Muhstik恶意软件。这些恶意软件家族将物联网设备和服务器劫持到其僵尸网络中,部署挖矿软件或用来执行大规模的DDoS攻击。
Netlab 360研究人员介绍道:“我们的Anglerfish和Apacket蜜罐已经捕获了2波利用Log4j漏洞发展僵尸网络的攻击,通过快速样本分析发现,它们分别被用来发展Muhstik和Mirai僵尸网络,均针对Linux设备。”
三、投放Cobalt Strike信标
微软威胁情报中心报告称,Log4j漏洞也被利用来投放Cobalt Strike信标。Cobalt Strike是一个合法的渗透测试工具包,红队人员可以在“受损”设备上部署代理或信标,以执行远程网络监视或执行进一步的命令。
但是,威胁行为者通常使用Cobalt Strike的破解版本作为网络漏洞和勒索软件攻击的一部分。虽然没有公开研究表明勒索软件团伙或其他威胁行为者利用Log4j漏洞,但部署Cobalt Strike信标的事实意味着勒索软件攻击迫在眉睫。
四、扫描及信息公开
除了使用Log4Shell漏洞安装恶意软件之外,威胁参与者和研究人员还使用该漏洞来扫描易受攻击的服务器并从中窃取信息:攻击者使用该漏洞来强制易受攻击的服务器访问URL或对回调域执行DNS请求。
这允许攻击者或威胁行为者确定服务器是否易受攻击,并将其用于未来攻击、研究或试图获得漏洞赏金。有些攻击者甚至利用漏洞未经许可而泄露的包含服务器数据的环境变量,包括主机名、运行Log4j服务的用户名、操作系统名称和操作系统版本号等。
基于以上威胁因素,安全牛提醒企业用户有必要安装最新版本的Log4j或修复受影响的应用程序,以尽快缓解此漏洞。
