日前,BitDefender声称发现了第一个通过Log4Shell漏洞直接安装的勒索病毒。漏洞利用程序会下载一个Java类hxxp://3.145.115[.]94/Main.class(Log4j应用加载执行的类)文件。加载后,它会从安装名为“Khonsari”的新勒索软件的同一台服务器下载.NET二进制文件。该名称还被用作加密后的文件扩展名和赎金字条,如图1所示。图1Khonsari勒索字条在后续的攻击中,BitDefender注意到攻击者使用同一台服务器分发Orcus远程访问木马,一些安全专家认为相信可能是一个数据擦除器(Wiper)。Emsisoft分析师BrettCallow指出,勒索软件是以路易斯安那州一家古董店老板的联系信息命名的,而不是使用攻击者自己的信息。因此,尚不清楚此人是勒索软件攻击的实际受害者还是诱饵。不管是什么原因,由于恶意软件不包含攻击者的有效联系信息,Callow认为它是擦除器而不是勒索软件。虽然这可能是第一个用于直接安装勒索软件(或擦除器)的Log4j漏洞实例,但微软之前已经看到用于部署CobaltStrike信标的漏洞利用。因此,更高级的勒索软件攻击很可能利用了Log4Shell漏洞作为攻击手段。【本文为专栏作者“安安牛”原创文章,转载请通过安安牛(微信公众号id:gooann-sectv)获得授权】点此查看作者更多好文
