安芯网盾内存安全周报专栏，希望帮助企业更好的理解内存安全相关问题。让用户更好的认识、发现问题，防止外部入侵等威胁、有效的对系统进行安全设计，以实时防御并终止无文件攻击、0day /Nday攻击、缓冲区溢出攻击、基于内存的攻击等。

Log4Shell漏洞攻击新进展（3.2）

自Log4j软件中Log4Shell漏洞公开已经过去两个多月了。Barracuda的研究人员对自2021年12月10日以来系统检测到的攻击和有效负载进行了分析，并得出报告。

详细情况

Log4j的开发人员Apache在去年年底推出的2.17.1版解决了这一漏洞。但Barracuda研究人员表示，许多系统仍在继续运行流行的日志框架的旧版本，因此漏洞仍旧很容易被利用。 报告中发现，利用该漏洞的攻击尝试次数在过去两个月里保持相对稳定，出现几次下降和峰值。考虑到该软件的受欢迎程度、漏洞的可利用性以及攻破后的回报，Barracuda预计至少在短期内，这种攻击模式将继续存在。

虽然对这些漏洞的攻击数量保持稳定，但研究人员在攻击起源中有一些有趣的发现。大多数攻击来自美国的IP地址，其中一半的IP地址与AWS、Azure和其他数据中心有关。同时还有来自日本、德国、荷兰和俄罗斯的攻击者，这些是执行扫描和试图入侵的IP。

图1-IP分布情况

Barracuda的研究人员发现了各种针对易受攻击的Jog4j部署的有效负载，其中衍生出的Mirai僵尸网络占据了最大的份额。Mirai恶意软件的目标是公开暴露的网络摄像头、路由器和其他设备，并将它们纳入一个由远程控制机器人组成的僵尸网络。然后，攻击者可以控制这个僵尸网络对特定目标执行DDoS攻击，耗尽资源并中断在线服务。

报告中指出Mirai以不同的形式和来源分布，这表明运营商正试图建立一个大型的僵尸网络，以未来各种规模的受害者为目标。

最近利用Log4j漏洞的其他有效负载包括：

BillGates恶意软件(DDoS)

Kinsing(加密挖矿)

XMRig (加密挖矿)

Muhstik (DDoS)

报告中分析师指出，他们没有发现勒索软件团伙利用公开暴露的VMWare安装，并认为它更多地被用作已经被入侵的网络的内部威胁。

要防止这类攻击，最简单的方法是将Log4j更新到2.17.1或更高版本，并保持所有web应用程序都为最新版。

Barracuda报告中指出Log4Shell攻击的数量正保持稳定时，Sophos最近的报告表示该攻击有所下降。但所有分析人士都认为，威胁依然存在。

参考链接：

https://www.bleepingcomputer.com/news/security/log4shell-exploits-now-used-mostly-for-ddos-botnets-cryptominers/