據(jù) bleepingcomputer 消息，上周五，基于java日志平臺的 log4shell 漏洞公開利用程序被發(fā)布。log4j是一個(gè)開發(fā)框架，允許開發(fā)人員在他們的java應(yīng)用程序中添加錯(cuò)誤及事件日志。
該漏洞允許威脅者創(chuàng)建特殊的 jndi 字符串，當(dāng) log4j 讀取這些字符串時(shí)，會導(dǎo)致平臺連接到 url 并在其中執(zhí)行代碼。這使得攻擊者可以很容易地檢測到易受攻擊的設(shè)備，繼而執(zhí)行由遠(yuǎn)程站點(diǎn)或通過base64 編碼字符串提供的代碼。
雖然這個(gè)漏洞在log4j 2.15.0版本中得到修復(fù)，甚至在log4j 2.16.0中進(jìn)一步收緊，但它正被威脅者廣泛利用來安裝各種惡意軟件，包括比特幣礦工、僵尸網(wǎng)絡(luò)，cobalt strike信標(biāo)等。
首次利用log4j安裝勒索軟件
12月13日，bitdefender報(bào)告稱，他們發(fā)現(xiàn)首個(gè)勒索軟件家族是通過 log4shell 漏洞直接安裝的。
該漏洞利用程序從hxxp://3.145.115[.]94/main.class 下載一個(gè) java 類，由 log4j 應(yīng)用程序加載和執(zhí)行。一旦加載，它將從同一服務(wù)器下載一個(gè).net二進(jìn)制文件，以安裝新的勒索軟件“khonsari”。這個(gè)名字也被用作加密文件的擴(kuò)展名和勒索信，如下所示。
khonsari 贖金票據(jù)(來源：bleepingcomputer)
在后來的攻擊中，bitdefender 注意到，該威脅攻擊者使用相同的服務(wù)器來分發(fā) orcus 遠(yuǎn)程訪問木馬。
可能是一個(gè)“擦邊球”勒索軟件專家 michael gillespie 分析稱，khonsari 使用了有效的加密并且是安全的，這意味著不可能免費(fèi)恢復(fù)文件。然而，奇怪的是，贖金票據(jù)并未署明向誰支付贖金。
emsisoft 分析師brett callow指出，該勒索軟件是以路易斯安那州一家古董店老板的名字命名的，并使用了該老板的聯(lián)系信息，而不是威脅者。因此，尚不清楚此人是勒索軟件攻擊的實(shí)際受害者還是被列為的“誘餌”。
不管是什么原因，由于它不包含威脅者的具體聯(lián)系方式，我們認(rèn)為這是一個(gè)“擦邊球”而不是勒索軟件。
但是，基于微軟已經(jīng)觀察到用于部署 cobalt strike 信標(biāo)的漏洞，因此，更高級的勒索軟件操作可能已經(jīng)在使用該漏洞作為其攻擊的一部分。


做農(nóng)產(chǎn)品微商需要考慮的六個(gè)問題
廈門到義烏物流專線
南京到濟(jì)南物流專線
太原到通許物流專線
廣州到新余物流專線
南昌到任丘物流專線
無錫到營口物流專線
微信小程序怎么開發(fā)，app軟件開發(fā)有哪些方式？