利用危險的 Log4j 漏洞 CVE-2021-44228 的加密貨幣挖掘代碼中的漏洞
https://www.youtube.com/embed/PNDBjoT83zA Log4j 的背景 阿里雲安全團隊公開披露了一個嚴重漏洞(CVE-2021-44228),允許針對多個版本的 Apache Log4j2(Log4Shell)執行未經身份驗證的遠程代碼。攻擊者可以通過任何協議(如 HTTPS)連接並發送特製字符串來利用易受攻擊的服務器。 Log4j 加密貨幣挖礦活動 Darktrace 檢測到由於利用此 Log4j 漏洞而發生的多個客戶部署中的加密挖掘。在所有這些事件中,攻擊都是通過出站 SSL 連接進行的,這些連接似乎是請求 base64 編碼的 PowerShell 腳本繞過邊界防禦和下載批處理 (.bat) 腳本文件,以及安裝加密挖掘惡意軟件的多個可執行文件。該活動具有更廣泛的活動指標,包括常見的硬編碼 IP、可執行文件和腳本。 攻擊週期開始於似乎是對互聯網連接設備的機會性掃描,以尋找易受 Log4j 攻擊的 VMWare Horizons 服務器。一旦發現易受攻擊的服務器,攻擊者就會與受害者建立 HTTP 和 SSL 連接。成功利用後,服務器在端口 1389 上執行回調,檢索名為 mad_micky.bat 的腳本。這實現了以下目標: 通過將所有配置文件設置為 state=off'netsh advfirewall set allprofiles state off' 來禁用 Windows 防火牆 使用'netstat -ano | 搜索指示其他礦工安裝的現有進程 findstr TCP' 識別在端口 :3333, :4444, :5555, :7777, :9000…