被稱為L(zhǎng)og4Shell的Apache Log4j安全漏洞CVE-2021-44228公布后，開(kāi)采活動(dòng)大舉展開(kāi)。安全廠商發(fā)現(xiàn)，黑客已經(jīng)出手，藉由開(kāi)采這項(xiàng)漏洞散布一只新勒索軟件Khonsari。CISA要求美國(guó)聯(lián)邦政府機(jī)構(gòu)應(yīng)在圣誕節(jié)前完成修補(bǔ)。

　　Log4Shell漏洞公布后的開(kāi)采活動(dòng)多半以Linux系統(tǒng)為目標(biāo)，不過(guò)安全廠商包括BitDefender偵測(cè)到的Khonsari則鎖定Windows機(jī)器。它是一個(gè).NET binary檔，一旦被執(zhí)行，該檔案會(huì)列出受害機(jī)器所有磁碟，除C:\槽外整個(gè)加密，而在C:\槽上，Khonsari會(huì)加密包括使用者目錄下的文件、影片、圖片、下載及桌面資料夾中，除了.ini及.lnk以外的檔案。檔案被加密后就會(huì)加上khonsari的副檔名。

　　安全專家Michael Gillspie指出，Khonsari并非高明的開(kāi)發(fā)人員撰寫(xiě)，但仍然使用了有效加密法，一旦用戶中招，不是得自行破解就是付贖金一途。

　　奇妙的是，和一般勒索軟件不同，勒索信息中并未留下付贖金的電子錢包網(wǎng)址或是互動(dòng)式聯(lián)絡(luò)方式，而是美國(guó)路易西安那州一家名為Khonsari的古董店的Gmail信箱及電話。研究人員以之為該勒索軟件命名，但不確定這名字是個(gè)誘餌或是受害者，也懷疑Khonsari更可能是個(gè)Wiper程式，受害檔案將一去不復(fù)返無(wú)法贖回。

　　BitDefender也發(fā)現(xiàn)，下載Khonsari的服務(wù)器，隨后也散布遠(yuǎn)端存取木馬程式（Remote Access Trojan，RAT）Orcus。

　　這是第一起利用Log4Shell漏洞的勒索軟件攻擊。一般相信，針對(duì)Log4j重大漏洞的開(kāi)采活動(dòng)接下來(lái)將不斷涌現(xiàn)，包括手法高度復(fù)雜的惡意程式。CheckPoint周一指出，Log4Shell開(kāi)采程式上線一天內(nèi)，已經(jīng)快速衍生出60種更強(qiáng)大的變形，像是可經(jīng)由HTTP或HTTPS開(kāi)采，而有的開(kāi)采程式結(jié)合了多種繞過(guò)防護(hù)的手法，意謂著一層防護(hù)已經(jīng)不足以阻擋可能的惡意活動(dòng)。

　　微軟已偵測(cè)到試圖安裝采礦軟件木馬程式及滲透測(cè)試工具Cobalt Strike的活動(dòng)。其他安全廠商則觀測(cè)到僵尸網(wǎng)路病毒Mirai、Tsunami/Muhstik和Kinsing的蠢動(dòng)。

　　美國(guó)國(guó)土安全部下網(wǎng)路安全暨基礎(chǔ)架構(gòu)安全署（CISA）主任Jen Esterly上周指出Log4Shell漏洞已遭到大量開(kāi)采，由于其使用廣泛，對(duì)網(wǎng)路防御人員形成重大挑戰(zhàn)，要求資訊系統(tǒng)廠商必須立刻辨識(shí)、緩解及修補(bǔ)使用Apache Log4j的產(chǎn)品，并向客戶提出清楚說(shuō)明。

　　CISA已經(jīng)將Log4Shell漏洞加入到「已知被開(kāi)采漏洞」清單，要求美國(guó)聯(lián)邦政府機(jī)關(guān)緊急修補(bǔ)或緩解該漏洞。根據(jù)11月美國(guó)國(guó)土安全部的安全命令，今年內(nèi)公布的漏洞應(yīng)該在2周內(nèi)修補(bǔ)。由于該漏洞是于12月10日公布，因此聯(lián)邦政府必須在12月24日前修補(bǔ)完成。