据 bleepingcomputer 消息,上周五,根据Java日志平台的 "Log4Shell "系统漏洞公布运用程序流程被公布。Log4j是一个开发框架,容许开发者在许多人的Java应用软件中加上不正确及事情日志。
该系统漏洞容许危害者建立独特的 JNDI 字符串数组,当 Log4j 载入这种字符串数组时,会造成平台联接到 URL 并之中实行编码。这促使网络攻击可以比较容易地检验到易受攻击的机器设备,进而实行由远程控制网站或根据Base64 编号字符串数组给予的编码。
尽管这些系统漏洞在Log4j 2.15.0版本号中获得修补,乃至在Log4j 2.16.0中进一步缩紧,但它正被危害者普遍运用来组装各种各样恶意程序,包含比特币矿工、僵尸网络,Cobalt Strike信标等。
初次运用Log4j安裝勒索病毒
12月13日,BitDefender汇报称,她们发觉第一个勒索病毒大家族是根据 Log4Shell 系统漏洞立即安裝的。
该漏洞检测程序流程从hxxp://3.145.115[.]94/Main.class 下载一个 Java 类,由 Log4j 应用软件载入和实行。一旦载入,它将从同一服务器下载一个.NET二进制文件,以安裝新的勒索病毒“Khonsari”。名字的含义也被作为加密文件的后缀名和敲诈勒索信,如下所示所显示。
Khonsari 保释金单据(来源于:BleepingComputer)
在之后的伤害中,BitDefender 注意到,该危害网络攻击应用同样的云服务器来派发 Orcus 远程连接木马病毒。
可能是一个“擦边”
勒索病毒权威专家 Michael Gillespie 剖析称,Khonsari 应用了高效的数据加密而且是可靠的,这代表着不太可能免费恢复文档。殊不知,令人费解的是,保释金单据并没有署明向谁付款保释金。
Emsisoft 投资分析师Brett Callow强调,该勒索病毒是以得克萨斯州一家古玩店老总的名称取名的,并采用了该老总的关联信息内容,而不是危害者。因而,尚不清楚这人是勒索病毒进攻的具体受害人或是被列入的“鱼饵”。
无论是怎么回事,因为它不包含危害者的实际联系电话,大家觉得这是一个“擦边”而不是勒索病毒。
可是,根据微软公司早已观查到用以布署 Cobalt Strike 信标的系统漏洞,因而,更高等级的勒索病毒实际操作很有可能早已在应用该系统漏洞做为其进攻的一部分。
参照来源于:
https://www.bleepingcomputer.com/news/security/new-ransomware-now-being-deployed-in-log4shell-attacks/