再度重温一下 - Apache Log4j 漏洞：时间表

Apache Log4j 漏洞影响了全球的组织。以下是围绕 Log4j 漏洞利用的关键事件的时间表。

 自 12 月初发现以来，Apache Log4j 漏洞就 成为全球头条新闻。由于安全团队争先恐后地减轻相关风险，该漏洞已经影响到世界各地的大量组织。以下是围绕 Log4j 漏洞展开的关键事件的时间表。

12 月 9 日星期四：发现 Apache Log4j 零日漏洞

Apache 发布了 Log4j 中一个严重漏洞的详细信息，Log4j 是数百万基于 Java 的应用程序中使用的日志库。攻击者开始利用该漏洞 (CVE-2021-44228) – 被称为“Log4Shell”，在 CVSS 漏洞评级量表中被评为 10 分（满分 10 分）。它可能导致在运行易受攻击的应用程序的底层服务器上执行远程代码 (RCE)。“当启用消息查找替换时，可以控制日志消息或日志消息参数的攻击者可以执行从 LDAP 服务器加载的任意代码，”Apache 开发人员在一份公告中写道。Log4j 2.15.0 的发布提供了该问题的修复程序，因为来自全球的安全团队致力于保护他们的组织。敦促企业安装最新版本。

12 月 10 日，星期五：英国 NCSC 向英国组织发出 Log4j 警告

随着该漏洞的影响继续存在，英国国家网络安全中心 (NCSC) 就该漏洞向英国公司发出了 公开警告 ，并概述了缓解策略。NCSC 建议所有组织在已知使用 Log4j 的地方立即安装最新更新。“这应该是所有使用已知包含 Log4j 的软件的英国组织的首要任务。组织应该更新面向互联网和非面向互联网的软件，”声明中写道。还敦促企业寻找未知的 Log4j 实例并部署保护性网络监控/阻止。

12 月 11 日星期六：CISA 主任评论“对网络维护者的紧迫挑战”

与英国的 NCSC 非常相似，美国网络安全和基础设施安全局 (CISA) 公开回应了 Log4j 漏洞，主管 Jen Easterly 反映了它给网络防御者带来的紧迫挑战。“CISA 正在与我们的公共和私营部门合作伙伴密切合作，以主动解决影响包含 Log4j 软件库的产品的关键漏洞，”她在一份声明中 说. “我们正在采取紧急行动来推动缓解这一漏洞并检测任何相关的威胁活动。我们已将此漏洞添加到已知被利用漏洞的目录中，这迫使联邦民间机构——并向非联邦合作伙伴发出信号——紧急修补或补救此漏洞。我们正在主动接触其网络可能易受攻击的实体，并利用我们的扫描和入侵检测工具来帮助政府和行业合作伙伴识别漏洞的暴露或利用。”

CISA 建议资产所有者立即采取另外三个步骤来帮助缓解漏洞：

• 枚举任何安装了 Log4j 的面向外部的设备

• 确保安全运营中心对属于上述类别的设备上的每一个警报采取行动

• 安装具有自动更新规则的 Web 应用程序防火墙，以便安全运营中心 (SOC) 可以专注于更少的警报

12 月 14 日，星期二：检测到第二个携带拒绝服务威胁的 Log4j 漏洞，发布了新补丁

发现了影响 Apache Log4j 的第二个漏洞。根据CVE 描述，新漏洞 CVE 2021-45046 允许恶意行为者使用 JNDI 查找模式制作恶意输入数据，以发起拒绝服务 (DoS) 攻击 。该 漏洞的新补丁 已发布，默认情况下取消了对消息查找模式的支持并禁用了 JNDI 功能，Log4j 2.15.0 修复了某些非默认配置中不完整的原始缺陷。

“虽然 CVE-2021-45046 没有原来的漏洞那么严重，但它成为威胁行为者对未打补丁或打补丁不当的系统进行恶意攻击的另一个载体，”Resilience 风险与响应负责人 Amy Chang 在漏洞发布后不久告诉 CSO。漏洞被发现。“CVE-2021-44228 的不完整补丁可能会被滥用来制作恶意输入数据，这可能会导致 DoS 攻击。DoS 攻击可以关闭机器或网络，并使其目标用户无法访问，”她补充道。建议组织尽快更新到 Log4j：2.16.0。

12 月 17 日，星期五：第三个 Log4j 漏洞被披露，新修复可用

Apache 发布了第三个主要 Log4j 漏洞的详细信息，并提供了另一个修复程序。这是一个无限递归缺陷，评分为 7.5（满分 10）。“Log4j 团队已经意识到一个安全漏洞 CVE-2021-45105，该漏洞已在 Log4j 2.17.0中得到解决 适用于 Java 8 及更高版本，”它写道。“Apache Log4j2 版本 2.0-alpha1 到 2.16.0 无法防止来自自引用查找的不受控制的递归。当日志记录配置使用具有上下文查找的非默认模式布局（例如，$${ctx:loginId}）时，控制线程上下文映射 (MDC) 输入数据的攻击者可以制作包含递归查找的恶意输入数据，导致将终止进程的 StackOverflowError。这也称为 DoS（拒绝服务）攻击。”

Apache 还概述了以下缓解措施：

• 在日志记录配置中的 PatternLayout 中，替换上下文查找，如

  �吨�:升��我�我���

  具有线程上下文映射模式（%X、%mdc 或 %MDC）的 ${ctx:loginId}

• 否则，在配置中，删除对上下文查找的引用，例如

  �吨�:升��我�我���

  ${ctx:loginId} 它们源自应用程序外部的来源，例如 HTTP 标头或用户输入

12 月 20 日，星期一：利用 Log4j 安装 Dridex 和 Meterpreter

网络安全研究组织 Cryptolaemus 警告说，  Log4j 漏洞正被利用 来感染带有 Dridex 银行木马的 Windows 设备和带有 Meterpreter 的 Linux 设备。Dridex 是一种恶意软件，它通过使用 Microsoft Word 宏的系统窃取银行凭证，而 Meterpreter 是一种 Metasploit 攻击负载，它提供了一个交互式 shell，攻击者可以从中探索目标机器并执行代码。Cryptolaemus 成员 Joseph Roosen 告诉 BleepingComputer  ，威胁行为者使用 Log4j RMI（远程方法调用）漏洞利用变体来强制易受攻击的设备从攻击者控制的远程服务器加载和执行 Java 类。

12 月 22 日，星期三：数据显示 10% 的资产易受 Log4Shell 攻击

网络安全供应商 Tenable 发布的数据显示，十分之一的资产容易受到 Log4Shell 的攻击，而 30% 的组织尚未开始扫描该漏洞。“在已评估的资产中，大约 10% 的资产中发现了 Log4Shell，包括范围广泛的服务器、Web 应用程序、容器和 IoT 设备，”Tenable 博客文章中 写道。“Log4Shell 遍及所有行业和地区。十分之一的公司服务器暴露在外。十分之一的 Web 应用程序等等。我们数字基础设施几乎每个方面的十分之一都有可能通过 Log4Shell 进行恶意利用。”

供应商警告说，由于 Log4j 在基础设施和应用程序中的普遍性，Log4Shell 比 EternalBlue（在 WannaCry 攻击中被利用）具有更大的潜在威胁。“历史上没有任何一个漏洞如此公然地要求修复。Log4Shell 将定义我们所知道的计算，将那些努力保护自己的人与那些乐于疏忽大意的人分开，”它补充道。

1 月 4 日，星期二：FTC 要求公司修补 Log4j 漏洞，并威胁采取法律行动

美国联邦贸易委员会 (FTC) 敦促美国组织立即修补 Log4Shell 漏洞，否则将面临该机构的惩罚性行动。“当发现和利用漏洞时，就有可能导致个人信息丢失或泄露、经济损失和其他不可逆转的伤害。采取合理措施缓解已知软件漏洞的责任涉及法律，其中包括联邦贸易委员会法和 Gramm Leach Bliley 法，”FTC 表示. 它补充说，依赖 Log4j 的公司及其供应商现在采取行动以减少对消费者造成伤害的可能性并避免 FTC 采取法律行动至关重要。“联邦贸易委员会打算利用其全部法律权力追查未能采取合理措施保护消费者数据免遭 Log4j 或未来类似已知漏洞影响的公司。”

1 月 10 日，星期一：微软警告中国勒索软件运营商利用 Log4Shell

微软更新了其 Log4j 漏洞指南页面 详细介绍了一家位于中国的勒索软件运营商 (DEV-0401) 以面向互联网的系统为目标并部署了 NightSky 勒索软件。“早在 1 月 4 日，攻击者就开始在运行 VMware Horizon 的面向互联网的系统中利用 CVE-2021-44228 漏洞，”它写道。“DEV-0401 之前部署了多个勒索软件系列，包括 LockFile、AtomSilo 和 Rook，并同样利用了运行 Confluence (CVE-2021-26084) 和本地 Exchange 服务器 (CVE-2021-34473) 的面向互联网的系统。” 根据 Microsoft 的分析，发现攻击者正在使用欺骗合法域的命令和控制 (CnC) 服务器。这些包括 service[.]trendmrcio[.]com、api[.]rogerscorp[.]org、api[.]sophosantivirus[.]ga、apicon[.]nvidialab[.]us、w2zmii7kjb81pfj0ped16kg8szyvmk.burpcollaborator[.]net、和 139[.]180[.]217[.]203。

---

安全 101：加密货币挖矿恶意软件的影响

澳大利亚政府刚刚 承认 数字货币是一种合法的支付方式。自 7 月 1 日起，使用比特币等数字货币进行的购买免征该国的商品和服务税，以避免双重征税。因此，交易者和投资者不会因通过合法交易平台买卖而被征税。

日本于  去年 4 月将比特币作为一种支付方式 合法化，预计将 有超过 20,000 家商户接受比特币支付。其他国家也加入了这股潮流，尽管只是部分加入：  瑞士、 挪威和 荷兰的企业 和一些 公共组织。在最近的一项 研究中，加密货币钱包的独特活跃用户固定在 290 万至 580 万之间，其中大部分位于北美和欧洲。 

但是，数字货币的接受和采用与在线威胁有什么关系呢？实际上很多。随着像比特币这样的加密货币在现实世界中获得关注，滥用它的网络犯罪威胁也会如此。但是，究竟如何呢？这对企业和日常用户意味着什么？

什么是加密货币？

加密货币是表示货币单位的加密数据字符串。它由对等网络（也称为区块链）监控和组织，该网络还用作交易的安全分类帐，例如购买、销售和转移。与实物货币不同，加密货币是分散的，这意味着它们不是由政府或其他金融机构发行的。 

加密货币是通过加密算法创建（和保护）的，这些算法在称为挖掘的过程中得到维护和确认，在该过程中，计算机网络或专用硬件（如专用集成电路 (ASIC)）处理和验证交易。该过程激励使用加密货币运行网络的矿工。

比特币不是万能的

实际上有 700 多种加密货币，但只有一些容易交易，市值超过 1 亿美元的更少。例如，比特币由中本聪（化名）创建，并于 2009 年作为开源代码发布。区块链技术使这一切都有效，提供了一个系统，在该系统中，数据结构（块）通过通信端点（节点）网络在公共分布式数据库中进行广播、验证和注册。 

虽然比特币是最著名的加密货币，但还有其他流行的替代品。以太坊通过让开发人员更容易使用编写它们所需的编程语言，将“智能合约”提升了一个档次。协议或有条件/如果-那么交易被编写为代码并在以太坊的区块链中执行（只要满足要求）。 

然而，以太坊因黑客利用 运行在以太坊软件上的数字自治组织 (DAO) 中的漏洞窃取了价值 5000 万美元的以太币（以太坊货币）而声名狼藉。 这导致了基于原始区块链的 Ethereum Classic 及其升级版本（通过硬分叉）的 Ethereum 的开发。

还有其他值得注意的加密货币：莱特币、狗狗币、门罗币。莱特币据称是比特币的技术改进，能够通过其 Scrypt 挖掘算法（比特币使用 SHA-256）加快周转速度。莱特币网络能够生产 8400 万个莱特币——是比特币发行的加密货币单位的四倍。Monero 以使用环签名（一种数字签名）和 CryptoNote 应用层协议来保护其交易的隐私（金额、来源和目的地）而闻名。狗狗币最初是为教育或娱乐目的而开发的，旨在为更广泛的人群服务。能够生成无上限的狗狗币，它还使用 Scrypt 来驱动货币。

加密货币挖矿也引起了网络犯罪分子的注意

加密货币没有国界——任何人都可以随时随地发送它们，没有延迟或中介机构的额外/隐藏费用。鉴于其性质，由于加密货币无法伪造，而且个人信息位于加密墙之后，因此它们更容易受到欺诈和身份盗用的侵害。 

不幸的是，正如勒索软件运营商所展示的那样，加密货币同样明显的盈利能力、便利性和假名性也使它们成为网络犯罪分子的理想选择  。加密货币的日益普及与感染系统和设备的恶意软件的发生同时发生，将它们变成了加密货币挖掘机大军。 

加密货币挖掘是一项计算密集型任务，需要来自专用处理器、显卡和其他硬件的大量资源。虽然挖矿确实能赚钱，但也有很多注意事项。利润是相对于矿工在硬件上的投资而言的，更不用说为其供电的电力成本了。 

加密货币是按块开采的；例如，在比特币中，每次解决一定数量的哈希值时，每个区块可以奖励给矿工的比特币数量就会减半。由于比特币网络被设计为每 10 分钟生成一次加密货币，因此调整了解决另一个哈希的难度。随着挖矿算力的 增加，开采新区块的资源需求也会增加。支出相对较小，最终每四年减少一次——2016 年，开采一个区块的奖励减半 至 12.5 BTC（或 2017 年 7 月 5 日的 32,000 美元）。因此，许多人加入矿池以提高挖矿效率。利润在各组之间分配，具体取决于矿工付出了多少努力。

加密货币挖掘恶意软件使用类似的攻击媒介

坏人转而使用恶意软件来规避这些挑战。然而，网络犯罪矿工需要注意：联网设备和机器虽然速度足以处理网络数据，但不具备广泛的数字运算能力。为了抵消这一点，加密货币挖掘恶意软件旨在使 计算机僵尸网络僵尸化 以执行这些任务。其他人则完全避免了微妙之处——2014 年，哈佛的超级计算机集群 Odyssey 被 用来非法开采狗狗币。同年，  美国国家科学基金会自己的超级计算机也发生了类似事件。2017 年 2 月上旬，美联储的一台服务器被 滥用于挖掘比特币。 

加密货币挖掘恶意软件采用与许多其他威胁相同的作案手法——从携带恶意软件的垃圾邮件和从恶意 URL 下载到垃圾软件和可能不需要的应用程序 (PUA)。2014 年 1 月， 雅虎基于 Java 的广告网络中的一个漏洞遭到破坏，使欧洲最终用户暴露在 恶意广告中，这些恶意广告 传播了比特币挖矿恶意软件。在此之前的一个月，德国执法部门 逮捕了 据称使用恶意软件开采价值超过 954,000 美元比特币的黑客。

 早在 2011 年， 我们就看到了 与网络犯罪比特币挖矿相关的黑客工具和后门的出现，此后我们看到了各种增加更多功能的加密货币挖矿威胁，例如分布式拒绝服务 和 URL 欺骗. 另一个甚至试图 伪装成 Trend Micro 产品的组件。2014 年，威胁 以 Kagecoin 的形式蔓延到 Android 设备，能够挖掘比特币、莱特币和狗狗币。在中东地下很容易共享的远程访问木马 (RAT) njrat/Njw0rm被  修改以添加比特币挖掘功能。对可以挖掘莱特币的旧 Java RAT 也进行了同样的操作 。 

迄今为止，今年值得注意的加密货币挖矿恶意软件有 Adylkuzz、CPUMiner/EternalMiner 和 Linux.MulDrop.14。全部利用漏洞。 Adylkuzz 利用了 EternalBlue ，这是WannaCry勒索软件用来产生破坏性影响的相同安全漏洞  ，而 CPUMiner/EternalMiner 使用了 SambaCry，这是互操作性软件套件 Samba 中的一个漏洞。Linux.MulDrop.14 是一种 Linux 木马， 以 Raspberry Pi 设备为目标 。这些威胁感染了设备和机器，并将它们变成了门罗币挖矿僵尸网络。

加密货币挖掘恶意软件的影响使它们成为可靠的威胁

加密货币挖掘恶意软件窃取受感染机器的资源，显着影响它们的性能并增加它们的磨损。感染还涉及其他成本，例如功耗增加。 

但我们还发现它们的影响超出了性能问题。从 2017 年 1 月 1 日到 6 月 24 日，我们的传感器检测到 4,894 名比特币矿工触发了超过 460,259 次比特币挖矿活动，并发现这些矿工中超过 20% 还触发了基于 Web 和网络的攻击。我们甚至发现了与勒索软件攻击媒介相关的入侵企图。我们看到的这些攻击中最普遍的是：

• 跨站脚本

• 利用Microsoft 的 Internet Information Server  (IIS)中的远程代码执行 漏洞

• 蛮力和默认密码登录/攻击

• 命令缓冲区溢出攻击

• 超文本预处理器 (PHP) 任意代码注入

• SQL注入

• BlackNurse 拒绝服务 攻击 

这些恶意软件可能威胁网络或系统的可用性、完整性和安全性，这可能会导致企业的关键任务运营中断。信息窃取和系统劫持也是令人生畏的后果。这些攻击也可能成为传播其他恶意软件的渠道。 

物联网 (IoT) 设备也是加密货币挖掘恶意软件的目标——从 数字视频录像机 (DVR)/监控摄像头、 机顶盒、 网络附加存储 (NAS) 设备，尤其是路由器，因为它们无处不在在家庭和公司环境中。 2017 年 4 月，具有比特币挖掘功能的 Mirai 变体 浮出水面。Mirai 的臭名昭著源于它对物联网设备（尤其是家用路由器）造成的破坏，  去年使用它们使知名网站离线。在 2016 年前三个季度，我们发现了一支 由 Windows 系统、家庭路由器和 IP 摄像头组成的比特币挖矿僵尸大军。 

从 2017 年 1 月 1 日到 6 月 24 日，我们还观察到各种挖比特币的设备，尽管我们的遥测无法验证这些活动是否获得授权。我们还看到比特币挖矿活动激增 40%，从 2 月的每天 1,800 个触发事件增加到 2017 年 3 月的 3,000 个。 

虽然比特币开采本身并不违法（至少在许多国家/地区），但如果所有者不知情和未同意，则可能会导致妥协。我们发现运行 Windows 的机器有最多的比特币挖矿活动，但也值得注意的是：

• Macintosh 操作系统上的系统，包括 iOS（iPhone 4 至 iPhone 7）

• 设备在 Ubuntu OS 上运行，Ubuntu OS 是 Debian Linux OS 的衍生产品

• 家用路由器

• 环境监控设备，用于数据中心

• Android 运行的智能电视和移动设备

• 网络摄像机

• 打印服务器

• 游戏机

[阅读： 如何保护您的路由器免受 Mirai 和家庭网络攻击]

加密货币挖矿恶意软件可能使受害者成为问题的一部分

加密货币挖掘恶意软件会损害系统性能，并使最终用户和企业面临信息盗窃、劫持和大量其他恶意软件的风险。通过将这些机器变成僵尸，加密货币恶意软件甚至可以无意中使其受害者成为问题的一部分。 

事实上，它们对它们感染的设备——最终是企业资产或用户数据——的不利影响使它们成为一个可靠的威胁。这些恶意软件没有灵丹妙药，但可以通过遵循以下最佳实践来缓解它们：

• 定期使用最新补丁更新您的设备有助于防止攻击者利用漏洞作为进入系统的入口

• 更改或加强设备的默认凭据可使设备不易受到未经授权的访问

• 启用设备的防火墙（用于家庭路由器）（如果可用），或部署入侵检测和预防系统以减少入侵企图

• 警惕已知的攻击媒介：来自可疑网站的社交工程链接、附件或文件、可疑的第三方软件/应用程序以及未经请求的电子邮件 

IT/系统管理员和信息安全专业人员还可以考虑 应用程序白名单 或类似的安全机制，以防止运行或安装可疑的可执行文件。主动监控网络流量有助于更好地识别可能表明恶意软件感染的危险信号。应用最小权限原则，制定 针对网络注入的对策， 保护电子邮件网关， 为企业移动设备实施最佳实践和培养具有网络安全意识的员工队伍是纵深防御方法的一部分，可减少企业暴露于这些威胁的风险。然而，归根结底，联网设备抵御加密货币挖掘恶意软件的安全性不仅仅是用户的负担。原始设计和设备制造商 在保护其运行的生态系统 方面也发挥着重要作用。

原文：https://github.com/demining/Log4j-Vulnerability

原文始发于微信公众号（Ots安全）：再度重温一下 - Apache Log4j 漏洞：时间表