失控！Log4Shell漏洞出现六十多个恶性变种

2021年最重大的网络安全灾难莫过于当下肆虐全球的Apache Log4j日志库漏洞利用（又称Log4Shell，编号CVE-2021-44228）。

自上周公开披露以来，Log4Shell漏洞像癌症一样在互联网上迅猛扩散，导致全球的企业安全人员都失去了周末假期。

根据业界众多网络安全公司的观测，目前大多数Log4Shell漏洞利用主要是挖矿软件，但攻击者也在积极尝试在易受攻击的系统上安装更危险的恶意软件。据微软研究人员称，除了挖矿软件之外，他们还看到了Cobalt Strike的安装，攻击者可以用它来窃取密码，通过横向移动进一步潜入受感染的网络并窃取数据。

更为糟糕的是，该漏洞利用正在发生快速变异，绕过现有缓解措施，并吸引了越来越多的攻击者。Check Point的网络安全研究人员周一警告说，Log4Shell正在快速变异，已经产生60多个更强大的变种，所有变种都在不到一天的时间内产生。

研究人员指出：“自周五以来，我们目睹了一种类似病毒进化的迅猛势头，原始漏洞的新变种被迅速引入：在不到24小时内涌现超过60种。”

Log4Shell是个极度危险的漏洞，因为它非常容易被利用，且驻留在无处不在的Java日志库Apache Log4j中，漏洞利用可导致未经身份验证的远程代码执行(RCE)和服务器被完全接管。

周一，Check Point报告说，Log4Shell的新的恶性变种现在已经可以“通过HTTP或HTTPS”被利用。

Check Point表示，利用该漏洞的方法越多，攻击者就越容易绕过自周五以来安全厂商和企业疯狂推出的新保护措施。这意味着一层保护是不够的，只有多层安全态势才能提供弹性保护。

由于Log4Shell的攻击面巨大，一些安全专家称Log4Shell是今年最大的网络安全灾难，将其与2014年Shellshock系列安全漏洞相提并论，后者被受感染计算机的僵尸网络用于执行分布式拒绝服务(DDoS)攻击和漏洞扫描，在其最初披露后的数小时内就被野外利用。

除了可以绕过保护措施的变化之外，研究人员还看到了漏洞利用的新策略。

人工智能网络安全公司Vectra的威胁情报负责人Luke Richards周一透露，最初的漏洞利用尝试是基本的回调，最初的漏洞利用尝试来自TOR节点。他们主要指向“bingsearchlib[.]com”，利用被传递到用户代理或请求的统一资源标识符（URI）。

但自从第一波利用尝试浪潮以来，Vectra已经跟踪了利用该漏洞的威胁行为者在策略上的许多变化。值得注意的是，正在使用的命令发生了变化，因为威胁行为者已经开始混淆他们的请求。

Richards解释说：“这最初包括用base64字符串填充用户代理或URI，当易受攻击的系统解码时，会导致主机从攻击者基础设施下载恶意dropper。”在此之后，攻击者开始利用JDNI进程的其他转换功能来混淆Java命名和目录接口(JDNI)字符串本身。

他举了以下代码实例：

${jndi:${lower:l}${lower:d}a${lower:p}://world80

${${env:ENV_NAME:-j}n${env:ENV_NAME:-d}i${env:ENV_NAME:-:}${env:ENV_NAME:-l}d${env:ENV_NAME:-a}p${env:ENV_NAME:-:}//

${jndi:dns://

所有这些都实现了相同的目标：“下载恶意类文件并将其放到目标系统上，或者泄露基于云的系统的凭据，”Richards说道。

至少从12月1日起，攻击者就一直在围绕Log4Shell漏洞进行讨论，事实证明，一旦CVE-2021-44228在上周晚些时候公开披露，就像打开了潘多拉盒子，蜜罐中涌入了大批攻击者。