Dari Mana Serangan Log4Shell Terbaru Berasal

Cybersecurity profesional di seluruh dunia telah berjuang untuk menopang sistem mereka dari kelemahan eksekusi kode jarak jauh (RCE) kritis (CVE-2021-44228) di alat Apache Log4j, ditemukan beberapa hari yang lalu.

Sekarang di bawah eksploitasi aktif, “Log4Shell ” bug memungkinkan pengambilalihan server sepenuhnya. Para peneliti telah mulai mengisi rincian tentang serangan Log4Shell terbaru, dan mereka melaporkan menemukan setidaknya 10 botnet Linux tertentu yang memimpin serangan.

Pertama, analis di NetLab 360 mendeteksi dua gelombang serangan Log4Shell pada honeypot mereka, dari botnet Muhstik dan Mirai .

Mirai Tweak untuk Troll untuk Kerentanan Log4Shell 

Analis di Netlab 360 mengatakan ini adalah varian baru Mirai dengan beberapa inovasi khusus. Pertama, mereka menunjukkan potongan kode “table_init/table_lock_val/table_unlock_val dan fungsi manajemen konfigurasi khusus Mirai lainnya telah dihapus.”

Kedua, mereka menambahkan, “Fungsi attack_init juga dibuang, dan fungsi serangan DDoS dipanggil langsung oleh command-processing function.”

Akhirnya, mereka menemukan iterasi botnet Mirai ini menggunakan domain dua tingkat untuk mekanisme command-and-control (C2)-nya, yang menurut tim di Netlab 360 adalah “langka.”

Muhstik Variant Attacks Log4Shell

Botnet Linux lain yang diluncurkan untuk memanfaatkan kelemahan Perpustakaan Apache 4j adalah Muhstik, varian Mirai.

“Dalam sampel yang diambil ini, kami mencatat bahwa varian Muhstik baru menambahkan modul pintu belakang, ldm, yang memiliki kemampuan untuk menambahkan Kunci publik pintu belakang SSH dengan kunci publik pintu belakang yang diinstal berikut ini,” Netlab 360 melaporkan.

Sekali menambahkan, kunci publik memungkinkan aktor ancaman masuk ke server tanpa banyak kata sandi, mereka menjelaskan ed.

“Muhstik mengambil pendekatan blak-blakan untuk menyebarkan muatan tanpa tujuan, mengetahui bahwa akan ada mesin yang rentan, dan untuk mengetahui siapa yang telah terinfeksi, Muhstik mengadopsi jaringan TOR untuk mekanisme pelaporannya,” kata tim Netlab 360.

Following mendeteksi serangan tersebut, tim Netlab 360 menemukan botnet lain yang mencari kerentanan Log4Shell termasuk: keluarga DDoS Elknot; keluarga pertambangan m8220; Pemuat Situs; xmrig.pe; xmring.ELF; alat serangan 1; alat serangan 2; ditambah satu yang tidak diketahui dan keluarga PE.

Geografi Serangan Log4Shell

Mayoritas upaya eksploitasi terhadap Log4Shell berasal dari Rusia, menurut peneliti Kaspersky yang menemukan 4.275 serangan diluncurkan dari Rusia, sejauh ini paling banyak dari wilayah lain mana pun. Sebagai perbandingan, 351 upaya diluncurkan dari China dan 1.746 dari US

Sejauh ini, eksploitasi perpustakaan logging Apache Log4j telah menghasilkan 60 mutasi — dan hanya butuh waktu kurang dari satu hari.

Kisah ini sedang berkembang, jadi pantau terus Threatpost untuk informasi tambahan coverage.

Ada lautan data tidak terstruktur di internet yang berkaitan dengan ancaman keamanan terbaru. DAFTAR HARI INI untuk mempelajari konsep utama pemrosesan bahasa alami (NLP) dan cara menggunakannya untuk menavigasi lautan data dan menambahkan konteks ke ancaman keamanan siber (tanpa menjadi ahli!). Balai Kota Threatpost LANGSUNG dan interaktif ini, disponsori oleh Rapid 7, akan menampilkan peneliti keamanan Erick Galinkin dari Rapid7 dan Izzy Lazerson dari IntSights (perusahaan Rapid7), ditambah jurnalis Threatpost dan pembawa acara webinar, Becky Bracken.Daftar SEKARANG untuk acara LANGSUNG!
Write sebuah komentar
Bagikan artikel ini:

  • Kerentananliu
      iKeamanan Web