被称为Log4Shell的Apache Log4j安全漏洞CVE-2021-44228公布后,开采活动大举展开。安全厂商发现,黑客已经出手,藉由开采这项漏洞散布一只新勒索软件Khonsari。CISA要求美国联邦政府机构应在圣诞节前完成修补。
Log4Shell漏洞公布后的开采活动多半以Linux系统为目标,不过安全厂商包括BitDefender侦测到的Khonsari则锁定Windows机器。它是一个.NET binary档,一旦被执行,该档案会列出受害机器所有磁碟,除C:\槽外整个加密,而在C:\槽上,Khonsari会加密包括使用者目录下的文件、影片、图片、下载及桌面资料夹中,除了.ini及.lnk以外的档案。档案被加密后就会加上khonsari的副档名。
安全专家Michael Gillspie指出,Khonsari并非高明的开发人员撰写,但仍然使用了有效加密法,一旦用户中招,不是得自行破解就是付赎金一途。
奇妙的是,和一般勒索软件不同,勒索信息中并未留下付赎金的电子钱包网址或是互动式联络方式,而是美国路易西安那州一家名为Khonsari的古董店的Gmail信箱及电话。研究人员以之为该勒索软件命名,但不确定这名字是个诱饵或是受害者,也怀疑Khonsari更可能是个Wiper程式,受害档案将一去不复返无法赎回。
BitDefender也发现,下载Khonsari的服务器,随后也散布远端存取木马程式(Remote Access Trojan,RAT)Orcus。
这是第一起利用Log4Shell漏洞的勒索软件攻击。一般相信,针对Log4j重大漏洞的开采活动接下来将不断涌现,包括手法高度复杂的恶意程式。CheckPoint周一指出,Log4Shell开采程式上线一天内,已经快速衍生出60种更强大的变形,像是可经由HTTP或HTTPS开采,而有的开采程式结合了多种绕过防护的手法,意谓着一层防护已经不足以阻挡可能的恶意活动。
微软已侦测到试图安装采矿软件木马程式及渗透测试工具Cobalt Strike的活动。其他安全厂商则观测到僵尸网路病毒Mirai、Tsunami/Muhstik和Kinsing的蠢动。
美国国土安全部下网路安全暨基础架构安全署(CISA)主任Jen Esterly上周指出Log4Shell漏洞已遭到大量开采,由于其使用广泛,对网路防御人员形成重大挑战,要求资讯系统厂商必须立刻辨识、缓解及修补使用Apache Log4j的产品,并向客户提出清楚说明。
CISA已经将Log4Shell漏洞加入到「已知被开采漏洞」清单,要求美国联邦政府机关紧急修补或缓解该漏洞。根据11月美国国土安全部的安全命令,今年内公布的漏洞应该在2周内修补。由于该漏洞是于12月10日公布,因此联邦政府必须在12月24日前修补完成。