近日,ApacheLog4j2被披露存在潜在的反序列化代码执行漏洞,随后大量组织发现了Log4Shell漏洞的恶意利用:SANS研究院报道它发现漏洞被利用来部署挖矿软件。思科的Talos研究和情报部门表示,它已经看到APT组织和Mirai等僵尸网络的攻击企图。微软观察到利用漏洞尝试安装加密货币矿工和CobaltStrike有效载荷,可用于数据窃取和横向移动。威胁情报公司GreyNoise于12月9日开始观察到利用该漏洞的攻击企图,在武器化PoC攻击可用后不久观察到来自数百个IP地址的攻击。Bitdefender表示其蜜罐网络已经发现利用该漏洞的攻击。有迹象表明,Apple的iCloud服务和Minecraft服务器也可能受到该漏洞的影响。目前,根据安全厂商和研究机构的分析,已发现可利用Log4j漏洞的恶意软件载荷主要包括:1.挖掘恶意软件根据BleepingComputerweb服务器访问日志、GreyNoise数据和研究人员的报告,一旦漏洞被释放,研究人员看到攻击者利用Log4Shell漏洞执行shell脚本下载并安装各种挖矿软件,如图1所示。图1KinsingLog4Shell利用和解码命令该shell脚本从易受攻击的设备,然后下载并安装Kinsing恶意软件,该恶意软件开始挖掘加密货币(见图2)。图2KinsingInstallerScript(来源:BleepingComputer)II.Mirai和Muhstik僵尸网络Netlab360报告称,攻击者利用此漏洞在易受攻击的设备上安装Mirai和Muhstik恶意软件。这些恶意软件家族将物联网设备和服务器劫持到他们的僵尸网络中,部署挖矿软件或使用它们进行大规模DDoS攻击。Netlab的研究人员360介绍:“我们的Anglerfish和Apacket蜜罐捕获了两波利用Log4j漏洞开发僵尸网络的攻击。通过快速样本分析,我们发现它们分别被用于开发Muhstik和Mirai僵尸网络。针对Linux设备。”3.投放CobaltStrikeBeacons微软威胁情报中心报告称,Log4j漏洞也被用来投放CobaltStrike信标。CobaltStrike是一个合法的渗透测试工具包,它允许红队在“受损”设备上部署代理或信标,以执行远程网络监控或执行进一步的命令。然而,威胁行为者经常使用破解版的CobaltStrike作为网络漏洞和勒索软件攻击的一部分。虽然没有已发表的研究显示勒索软件团伙或其他威胁参与者利用Log4j漏洞,但部署CobaltStrike信标这一事实意味着勒索软件攻击迫在眉睫。4.扫描和信息泄露除了利用Log4Shell漏洞安装恶意软件外,威胁行为者和研究人员还利用该漏洞扫描易受攻击的服务器并从中窃取信息:攻击者利用该漏洞强制易受攻击的服务器访问URL或执行对回调域的DNS请求。这允许攻击者或威胁行为者确定服务器是否易受攻击并将其用于未来的攻击、研究或试图获得漏洞赏金。一些攻击者甚至利用该漏洞擅自泄露包含服务器数据的环境变量,包括主机名、运行Log4j服务的用户名、操作系统名称和操作系统版本号。基于以上威胁因素,安全牛提醒企业用户,需要尽快安装最新版本的Log4j或修复受影响的应用来缓解该漏洞。【本文为专栏作者“安妞”原创文章,转载请通过安妞(微信id:gooann-sectv)获得授权】点此查看作者更多好文
