日前,BitDefender 声称发觉第一个根据 Log4Shell 系统漏洞立即安裝的勒索软件,该漏洞利用程序流程会下载一个 Java 类hxxp://3.145.115[.]94/Main.class(此类由 Log4j 应用软件加载和实行)文档。加载后,它会从同一台服务器下载一个 .NET 二进制文件,该文件是一个安裝名叫“Khonsari”的新勒索软件。
名字的含义也被作为加密文件的后缀名和敲诈勒索通告,如下图1所显示。
图1 Khonsari保释金单据
在此后的伤害中,BitDefender 注意到网络攻击应用同样的云服务器来派发 Orcus 远程连接木马病毒,有可靠权威专家觉得这可能是个数据信息擦掉器(Wiper)。Emsisoft 投资分析师Brett Callow强调,该勒索软件以得克萨斯州一家古玩店老总的关联信息内容取名并运用其联络信息内容,而不是应用网络攻击自身的信息内容。因而,尚不清楚这人是勒索软件进攻的具体受害人或是鱼饵。
无论是怎么回事,因为该恶意程序不包含网络攻击的合理联络信息内容,Callow觉得这是一个擦掉器而不是勒索软件。尽管这可能是第一个运用Log4j 系统漏洞立即安裝勒索软件(或是擦掉器)的案例,但在这之前微软公司已检测到了用以布署 Cobalt Strike 信标的漏洞利用。因而,更高等级的勒索软件进攻很可能早已将Log4Shell漏洞利用做为一种进攻方式。
【文中是51CTO栏目创作者“i春秋”的原创文章内容,转截请根据i春秋(微信公众平台id:gooann-sectv)获得受权】
戳这儿,看该创作者大量好文章