被稱為Log4Shell的Apache Log4j安全漏洞CVE-2021-44228公布后，開采活動大舉展開。安全廠商發(fā)現(xiàn)，黑客已經(jīng)出手，藉由開采這項漏洞散布一只新勒索軟件Khonsari。CISA要求美國聯(lián)邦政府機構(gòu)應(yīng)在圣誕節(jié)前完成修補。

　　Log4Shell漏洞公布后的開采活動多半以Linux系統(tǒng)為目標，不過安全廠商包括BitDefender偵測到的Khonsari則鎖定Windows機器。它是一個.NET binary檔，一旦被執(zhí)行，該檔案會列出受害機器所有磁碟，除C:\槽外整個加密，而在C:\槽上，Khonsari會加密包括使用者目錄下的文件、影片、圖片、下載及桌面資料夾中，除了.ini及.lnk以外的檔案。檔案被加密后就會加上khonsari的副檔名。

　　安全專家Michael Gillspie指出，Khonsari并非高明的開發(fā)人員撰寫，但仍然使用了有效加密法，一旦用戶中招，不是得自行破解就是付贖金一途。

　　奇妙的是，和一般勒索軟件不同，勒索信息中并未留下付贖金的電子錢包網(wǎng)址或是互動式聯(lián)絡(luò)方式，而是美國路易西安那州一家名為Khonsari的古董店的Gmail信箱及電話。研究人員以之為該勒索軟件命名，但不確定這名字是個誘餌或是受害者，也懷疑Khonsari更可能是個Wiper程式，受害檔案將一去不復(fù)返無法贖回。

　　BitDefender也發(fā)現(xiàn)，下載Khonsari的服務(wù)器，隨后也散布遠端存取木馬程式（Remote Access Trojan，RAT）Orcus。

　　這是第一起利用Log4Shell漏洞的勒索軟件攻擊。一般相信，針對Log4j重大漏洞的開采活動接下來將不斷涌現(xiàn)，包括手法高度復(fù)雜的惡意程式。CheckPoint周一指出，Log4Shell開采程式上線一天內(nèi)，已經(jīng)快速衍生出60種更強大的變形，像是可經(jīng)由HTTP或HTTPS開采，而有的開采程式結(jié)合了多種繞過防護的手法，意謂著一層防護已經(jīng)不足以阻擋可能的惡意活動。

　　微軟已偵測到試圖安裝采礦軟件木馬程式及滲透測試工具Cobalt Strike的活動。其他安全廠商則觀測到僵尸網(wǎng)路病毒Mirai、Tsunami/Muhstik和Kinsing的蠢動。

　　美國國土安全部下網(wǎng)路安全暨基礎(chǔ)架構(gòu)安全署（CISA）主任Jen Esterly上周指出Log4Shell漏洞已遭到大量開采，由于其使用廣泛，對網(wǎng)路防御人員形成重大挑戰(zhàn)，要求資訊系統(tǒng)廠商必須立刻辨識、緩解及修補使用Apache Log4j的產(chǎn)品，并向客戶提出清楚說明。

　　CISA已經(jīng)將Log4Shell漏洞加入到「已知被開采漏洞」清單，要求美國聯(lián)邦政府機關(guān)緊急修補或緩解該漏洞。根據(jù)11月美國國土安全部的安全命令，今年內(nèi)公布的漏洞應(yīng)該在2周內(nèi)修補。由于該漏洞是于12月10日公布，因此聯(lián)邦政府必須在12月24日前修補完成。