40% mạng công ty trên toàn cầu đã bị tấn công Log4Shell

Các chuyên gia an ninh mạng trên khắp thế giới đang hướng hệ thống của họ đến việc chống lại một lỗ hổng thực thi mã từ xa (RCE) quan trọng (CVE-2021-44228) trong công cụ Apache Log4j. 

Lỗ hổng này rất dễ khai thác, được đặt tên là Log4Shell, lần đầu tiên nó được phát hiện vào ngày 9/12/2021 trên các trang web trò chơi Minecraft, và đang được khai thác trong tự nhiên chỉ vài giờ sau khi được công bố rộng rãi.

Lỗi "Log4Shell" hiện đang được tích cực khai thác, cho phép máy chủ bị tiếp quản hoàn toàn. Các nhà nghiên cứu đã bắt đầu đưa ra các thông tin chi tiết về các cuộc tấn công Log4Shell mới nhất, họ báo cáo đã tìm thấy ít nhất 10 mạng botnet Linux cụ thể dẫn đầu các vụ tấn công.

Đầu tiên, các nhà phân tích tại NetLab 360 đã phát hiện ra hai đợt tấn công Log4Shell vào các honeypot (một hệ thống cho phép người quản trị có thể nghiên cứu, phân tích các hoạt động của kẻ tấn công, giúp phát hiện sớm để ngăn chặn các tấn công mạng từ cả trong và ngoài hệ thống một cách hiệu quả) của họ, từ các botnet Muhstik (một ransomware) và Mirai  (một malware lây nhiễm vào các thiết bị thông minh chạy bộ xử lý ARC, biến chúng thành một mạng lưới các bot hoặc zombie được điều khiển từ xa. Mạng bot này, được gọi là botnet, thường được sử dụng để khởi động các cuộc tấn công DDoS).

Mirai được tinh chỉnh để làm mồi câu

Các nhà phân tích từ Netlab 360 cho biết, đây là một biến thể mới của Mirai với một vài cải tiến. Đầu tiên, họ chỉ ra đoạn mã "table_init / table_lock_val/table_unlock_val và các chức năng quản lý cấu hình dành riêng cho Mirai khác đã bị loại bỏ."

Thứ hai, họ nói thêm, "Hàm attack_init cũng bị loại bỏ và hàm tấn công DDoS được gọi trực tiếp bởi hàm xử lý lệnh."

Cuối cùng, họ phát hiện ra lần lặp lại này của mạng botnet Mirai sử dụng miền hai cấp cho cơ chế ra lệnh và điều khiển (C2) của nó. Netlab 360 cho biết là "hiếm".

Sử dụng biến thể Muhstik tấn công Log4Shell

Botnet Linux khác được tung ra để tận dụng lỗ hổng thư viện Apache 4j là Muhstik, một biến thể của Mirai.

"Chúng tôi lưu ý rằng biến thể Muhstik mới bổ sung thêm mô-đun backdoor (cửa hậu), ldm, có khả năng thêm khóa công khai SSH backdoor", Netlab 360 báo cáo.

Sau khi được thêm vào, khóa công khai cho phép kẻ tấn công đăng nhập vào máy chủ mà không cần mật khẩu, Netlab 360 giải thích.

Nhóm Netlab 360 cho biết: "Muhstik thực hiện cách tiếp cận thẳng để phát tán tải trọng một cách không mục đích, sẽ có những máy dễ bị tấn công và để biết ai đã bị lây nhiễm, Muhstik sử dụng mạng TOR cho cơ chế báo cáo của mình".

Sau khi phát hiện các cuộc tấn công, nhóm Netlab 360 đã tìm thấy các mạng botnet khác đang truy tìm lỗ hổng Log4Shell bao gồm: DDoS family Elknot; m8220; SitesLoader; xmrig.pe; xmring.ELF...

Nơi xuất phát các cuộc tấn công Log4Shell

Theo threatpost.com, phần lớn các nỗ lực khai thác Log4Shell bắt nguồn từ Nga, theo các nhà nghiên cứu của Kaspersky, những người đã tìm thấy 4.275 cuộc tấn công được phát động từ Nga, trong khi đó có 351 nỗ lực được thực hiện từ Trung Quốc, và 1.746 là từ Mỹ.

Cho đến nay, việc khai thác thư viện ghi nhật ký Apache Log4j đã tách ra với 60 đột biến chỉ trong chưa đầy 1 ngày.

Log4Shell đang sinh ra các đột biến

Các cuộc tấn công khai thác thư viện ghi nhật ký Apache Log4j - đang biến đổi nhanh chóng và thu hút nhiều kẻ tấn công kể từ khi nó được công khai vào tuần trước.

Vẫn theo theo threatpost.com, hầu hết các cuộc tấn công tập trung vào khai thác tiền điện tử. Sophos, Microsoft và các công ty bảo mật khác đã cho biết như vậy. Tuy nhiên, những kẻ tấn công cũng đang tích cực cài đặt phần mềm độc hại nguy hiểm hơn nhiều vào các hệ thống dễ bị tấn công.

Theo các nhà nghiên cứu của Microsoft, ngoài các công cụ khai thác tiền ảo, họ cũng đã thấy các bản cài đặt Cobalt Strike - thứ mà những kẻ tấn công có thể sử dụng để đánh cắp mật khẩu, xâm nhập sâu hơn vào các mạng để lấy dữ liệu.

Ngoài ra, nó có thể trở nên tồi tệ hơn rất nhiều. Các nhà nghiên cứu an ninh mạng tại Check Point đã cảnh báo rằng, sự tiến hóa đã dẫn đến hơn 60 đột biến lớn hơn, mạnh hơn, tất cả đều xuất hiện trong vòng chưa đầy một ngày.

"Chúng tôi đã chứng kiến những gì trông giống như một cuộc tiến hóa, với các biến thể mới từ cách thức khai thác ban đầu, hơn 60 trong vòng chưa đầy 24 giờ," Check Point nói.

Các đột biến có thể bỏ qua các biện pháp bảo vệ đã có

Ngày 13/12, Check Point đã báo cáo rằng "con lai ác tính" mới của Log4Shell hiện có thể bị khai thác "qua HTTP hoặc HTTPS (phiên bản trình duyệt được mã hóa)".

Check Point cho biết, ngày càng có nhiều cách để khai thác lỗ hổng bảo mật, và như thế, những kẻ tấn công càng có nhiều lựa chọn thay thế để vượt qua các biện pháp bảo vệ mới. Theo Check Point: "Điều đó có nghĩa là một lớp bảo vệ là không đủ và chỉ có bảo mật nhiều lớp mới có thể cung cấp một lớp bảo vệ linh hoạt".

Do diện tấn công lớn, một số chuyên gia bảo mật đang gọi Log4Shell là thảm họa an ninh mạng lớn nhất năm, xếp ngang hàng với dòng lỗi bảo mật Shellshock năm 2014 đã bị botnet xâm nhập để thực hiện từ chối phân tán các cuộc tấn công dịch vụ (DDoS) và quét lỗ hổng bảo mật trong vòng vài giờ kể từ khi nó được tiết lộ.

Thay đổi chiến thuật

Bên cạnh các biến thể có thể vượt qua các biện pháp bảo vệ trước đây, các nhà nghiên cứu cũng đang nhìn thấy các chiến thuật mới.

Luke Richards, Trưởng nhóm Threat Intelligence tại công ty an ninh mạng AI Vectra, nói rằng, các nỗ lực khai thác ban đầu là các kiểu cơ bản, với nỗ lực khai thác ban đầu đến từ các nút TOR. Họ chủ yếu dùng "bingsearchlib [.] Com," với việc khai thác được chuyển vào tác nhân người dùng hoặc "Mã định danh tài nguyên đồng nhất (URI)".

Nhưng kể từ làn sóng nỗ lực khai thác ban đầu, Vectra đã theo dõi thấy có nhiều thay đổi trong chiến thuật của các tác nhân đe dọa đang tận dụng lỗ hổng. Đáng chú ý, có sự thay đổi trong các lệnh đang được sử dụng, vì các tác nhân đe dọa đã bắt đầu làm xáo trộn các yêu cầu của họ.

Richards giải thích trong một email: "Điều này ban đầu bao gồm việc nhồi User Agent hoặc URI với một chuỗi base64. Sau đó, những kẻ tấn công bắt đầu làm xáo trộn chính chuỗi "Đặt tên và giao diện thư mục Java (JDNI)", bằng cách tận dụng các tính năng khác của quy trình JDNI.

Ông đưa ra những ví dụ sau:

$ {jndi: $ {low: l} $ {low: d} a $ {low: p}: // world80

$ {$ {env: ENV_NAME: -j} n $ {env: ENV_NAME: -d} i $ {env: ENV_NAME: -:} $ {env: ENV_NAME: -l} d $ {env: ENV_NAME: -a} p $ {env: ENV_NAME: -:} //

$ {jndi: dns: //

… 

Tất cả đều nhằm cùng một mục tiêu: "tải xuống một tệp độc hại và thả nó vào hệ thống đích, hoặc làm rò rỉ thông tin đăng nhập của các hệ thống dựa trên đám mây," Richards nói.

Cuối cùng, theo Check Point, họ đã ngăn chặn hơn 845.000 nỗ lực khai thác, với hơn 46% trong số đó được thực hiện bởi các nhóm độc hại đã biết. Trên thực tế, Check Point đã cảnh báo rằng, có hơn 100 nỗ lực khai thác lỗ hổng bảo mật Log4Shell mỗi phút. Các nhà nghiên cứu đã chứng kiến các hoạt động khai thác được thực hiện trên hơn 40% mạng công ty trên toàn cầu.

Tài liệu tham khảo:

1. https://threatpost.com/log4shell-attacks-origin-botnet/176977

2. https://threatpost.com/apache-log4j-log4shell-mutations/176962