Tehdit aktörleri ve araştırmacılar, kötü amaçlı yazılım dağıtmak veya savunmasız sunucuları bulmak için Log4j Log4Shell güvenlik açığını tarar ve kullanır. Bu makalede, Log4j güvenlik açığını kullanarak bilinen yükleri, taramaları ve saldırıları derledik.
Cuma sabahı erken saatlerde, Apache Log4j Java tabanlı günlük platformunda ‘Log4Shell’ adlı kritik bir sıfır gün güvenlik açığı için bir açık kamuya açıklandı. Bu güvenlik açığı, saldırganların yalnızca tarayıcılarının kullanıcı aracısını arayarak veya özel bir dizeyle değiştirerek güvenlik açığı bulunan bir sunucuda uzaktan komut yürütmesine olanak tanır.
Kısa bir süre sonra, Apache serbest bırakıldı. Log4j 2.15.0 güvenlik açığını gidermek için, ancak tehdit aktörleri verileri sızdırmak, kötü amaçlı yazılım yüklemek veya sunucuyu ele geçirmek için güvenlik açığı bulunan sunucuları taramaya ve bu sunuculardan yararlanmaya başlamıştı.
Bu yazılım binlerce kurumsal uygulamada ve web sitesinde kullanıldığından, yaygın saldırılara ve kötü amaçlı yazılım dağıtımına yol açacağından önemli endişe vardır.
Aşağıda, Log4j güvenlik açığından yararlandığımız bilinen saldırıları özetliyoruz.
Kötü amaçlı yazılım yüklemek için kullanılan Log4Shell
Kolayca yararlanılabilen bir uzaktan kod yürütme güvenlik açığı açıklandığında, kötü amaçlı yazılım dağıtıcıları genellikle bu güvenlik açığını kullanmaya başlayan ilk dağıtımcılardır.
Aşağıda, BleepingComputer web sunucusu erişim günlüklerinden, GreyNoise verilerinden ve araştırmacılardan gelen raporlardan Log4j’den yararlanan bilinen kötü amaçlı yazılım yüklerini derledik.
Cryptominers
Güvenlik açığı açılır bırakılmaz, tehdit aktörlerinin aşağıda gösterildiği gibi çeşitli kriptominerleri indirip yükleyen kabuk komut dosyalarını yürütmek için Log4Shell güvenlik açığından yararlandığını gördük.
Arkasındaki tehdit aktörleri Kinsing arka kapı ve şifreleme botnet’i, güvenlik açığı bulunan sunucunun kabuk komut dosyalarını karşıdan yükleyip yürütmesini sağlayan Base64 kodlanmış yüklerle Log4j güvenlik açığını yoğun şekilde kötüye kullanıyor.
Bu kabuk komut dosyası, rakip kötü amaçlı yazılımları savunmasız cihazdan kaldıracak ve ardından kripto para birimi için madencilik yapmaya başlayacak olan Kinsing kötü amaçlı yazılımını indirip yükleyecektir.
BleepingComputer tarafından madencileri yüklerken görülen diğer Log4Shell istismarları aşağıdaki resimde görülebilir.
Mirai ve Muhstik botnets
Netlab 360 Rapor tehdit aktörlerinin Mirai’yi yüklemek için güvenlik açığından yararlandığını ve Muhstik güvenlik açığı bulunan cihazlarda kötü amaçlı yazılım.
Bu kötü amaçlı yazılım aileleri IoT cihazlarını ve sunucularını botnet’lerine alır ve bunları kriptominerleri dağıtmak ve büyük ölçekli DDoS saldırıları gerçekleştirmek için kullanır.
Netlab 360 araştırmacıları, “Bu sabah ilk cevapları aldık, Fener Balığı ve Apacket bal küplerimiz botnet oluşturmak için Log4j güvenlik açığını kullanarak 2 saldırı dalgası yakaladı ve hızlı bir örnekleme analizi, her ikisi de Linux cihazlarını hedef alan sırasıyla Muhstik ve Mirai botnet’leri oluşturmak için kullanıldığını gösterdi” diye açıklıyor.
Tarama ve bilginin ifşası
Kötü amaçlı yazılım yüklemek için Log4Shell istismarlarını kullanmanın yanı sıra, tehdit aktörleri ve güvenlik araştırmacıları, savunmasız sunucuları taramak ve onlardan bilgi sızdırmak için bu istismarı kullanıyor.
Aşağıda görebileceğiniz gibi, araştırmacılar bu açık sunucuları URL’lere erişmeye veya geri arama etki alanları için DNS isteklerini gerçekleştirmeye zorlamak için kullanır. Bu, araştırmacıların veya tehdit aktörlerinin sunucunun savunmasız olup olmadığını belirlemesine ve gelecekteki saldırılar, araştırmalar veya hata ödülü alma girişimleri için kullanmasına olanak tanır.
Bazı araştırmacılar, ana bilgisayarın adı, Log4j hizmetinin altında çalıştığı kullanıcı adı, işletim sistemi adı ve işletim sistemi sürüm numarası da dahil olmak üzere, sunucu verilerini izinsiz olarak içeren ortam değişkenlerini sızdırmak için yararlanmayı kullanarak çok ileri gidiyor olabilir.
Taramanın bir parçası olarak kullanılan en yaygın etki alanları veya IP adresleri şunlardır:/veya veri sızdırma kampanyaları:
interactsh.com
burpcollaborator.net
dnslog.cn
bin${upper:a}ryedge.io
leakix.net
bingsearchlib.com
205.185.115.217:47324
bingsearchlib.com:39356
canarytokens.com
Özellikle ilgi çekici olan, Log4j açıkları için bir geri arama olarak yoğun olarak kullanılan bingsearchlib.com etki alanıdır. Ancak, bir güvenlik araştırmacısı BleepingComputer’a, etki alanı bir geri aramadan yararlan, bingsearchlib.com kaydedilmedi.
Güvenlik araştırmacısı, etki alanını tehdit aktörlerinin kötüye kullanmasını önlemek için kaydettiklerini, ancak istekleri günlüğe kaydetmediklerini söyledi.
Tehdit istihbarat şirketi GreyNoise gösterileri bingsearchlib.com geri aramasını kullanan IP adresleri de genellikle 205.185.115.217:47324 Log4Shell geri araması kullanır.
Bilinmeyen saldırılar için BleepingComputer, web sitemizi sömürmeye çalışan psc4fuel.com adlı bir etki alanından tekrarlanan istekler gördü. Bu etki alanı, bir petrol hizmetleri şirketine ait meşru psc4fuel.com etki alanını taklit ediyor gibi görünüyor.
psc4fuel.com etki alanı, yararlanma işleminin yürütüleceği Java sınıflarını itmek için kullanılır. Ancak, BleepingComputer, Log4j güvenlik açığından yararlanan bir araştırmacı veya tehdit aktörü olup olmadığını görmek için bu sınıfların bir örneğini alamadı.
Fidye yazılımı çetelerinin veya diğer tehdit aktörlerinin Log4j istismarını kullandığını gösteren herhangi bir kamu araştırması olmasa da, saldırılarda zaten kullanmıyorlarsa şaşırtıcı olacaktır.
Bu nedenle, tüm kullanıcıların bu güvenlik açığını en kısa sürede gidermek için Log4j’nin veya etkilenen uygulamaların en son sürümünü yüklemeleri zorunludur.
Log4j güvenlik açığından yararlanan diğer kötü amaçlı yazılım kampanyalarını biliyorsanız, lütfen (646) 961-3731 adresindeki Signal aracılığıyla bize bildirin, Heyecanveya bizim iletişim formu böylece bilgileri bu makaleye ekleyebiliriz.