被稱(chēng)為L(cháng)og4Shell的Apache Log4j安全漏洞CVE-2021-44228公布后，開(kāi)采活動(dòng)大舉展開(kāi)。安全廠(chǎng)商發(fā)現，黑客已經(jīng)出手，藉由開(kāi)采這項漏洞散布一只新勒索軟件Khonsari。CISA要求美國聯(lián)邦政府機構應在圣誕節前完成修補。

　　Log4Shell漏洞公布后的開(kāi)采活動(dòng)多半以L(fǎng)inux系統為目標，不過(guò)安全廠(chǎng)商包括BitDefender偵測到的Khonsari則鎖定Windows機器。它是一個(gè).NET binary檔，一旦被執行，該檔案會(huì )列出受害機器所有磁碟，除C:\槽外整個(gè)加密，而在C:\槽上，Khonsari會(huì )加密包括使用者目錄下的文件、影片、圖片、下載及桌面資料夾中，除了.ini及.lnk以外的檔案。檔案被加密后就會(huì )加上khonsari的副檔名。

　　安全專(zhuān)家Michael Gillspie指出，Khonsari并非高明的開(kāi)發(fā)人員撰寫(xiě)，但仍然使用了有效加密法，一旦用戶(hù)中招，不是得自行破解就是付贖金一途。

　　奇妙的是，和一般勒索軟件不同，勒索信息中并未留下付贖金的電子錢(qián)包網(wǎng)址或是互動(dòng)式聯(lián)絡(luò )方式，而是美國路易西安那州一家名為Khonsari的古董店的Gmail信箱及電話(huà)。研究人員以之為該勒索軟件命名，但不確定這名字是個(gè)誘餌或是受害者，也懷疑Khonsari更可能是個(gè)Wiper程式，受害檔案將一去不復返無(wú)法贖回。

　　BitDefender也發(fā)現，下載Khonsari的服務(wù)器，隨后也散布遠端存取木馬程式（Remote Access Trojan，RAT）Orcus。

　　這是第一起利用Log4Shell漏洞的勒索軟件攻擊。一般相信，針對Log4j重大漏洞的開(kāi)采活動(dòng)接下來(lái)將不斷涌現，包括手法高度復雜的惡意程式。CheckPoint周一指出，Log4Shell開(kāi)采程式上線(xiàn)一天內，已經(jīng)快速衍生出60種更強大的變形，像是可經(jīng)由HTTP或HTTPS開(kāi)采，而有的開(kāi)采程式結合了多種繞過(guò)防護的手法，意謂著(zhù)一層防護已經(jīng)不足以阻擋可能的惡意活動(dòng)。

　　微軟已偵測到試圖安裝采礦軟件木馬程式及滲透測試工具Cobalt Strike的活動(dòng)。其他安全廠(chǎng)商則觀(guān)測到僵尸網(wǎng)路病毒Mirai、Tsunami/Muhstik和Kinsing的蠢動(dòng)。

　　美國國土安全部下網(wǎng)路安全暨基礎架構安全署（CISA）主任Jen Esterly上周指出Log4Shell漏洞已遭到大量開(kāi)采，由于其使用廣泛，對網(wǎng)路防御人員形成重大挑戰，要求資訊系統廠(chǎng)商必須立刻辨識、緩解及修補使用Apache Log4j的產(chǎn)品，并向客戶(hù)提出清楚說(shuō)明。

　　CISA已經(jīng)將Log4Shell漏洞加入到「已知被開(kāi)采漏洞」清單，要求美國聯(lián)邦政府機關(guān)緊急修補或緩解該漏洞。根據11月美國國土安全部的安全命令，今年內公布的漏洞應該在2周內修補。由于該漏洞是于12月10日公布，因此聯(lián)邦政府必須在12月24日前修補完成。