到目前为止,Log4j黑客行动中冲锋在前的主要是加密货币挖矿机,也就是从受影响系统中抽取资源开采加密货币的恶意软件。根据微软和其他国家最近的报告,一些国家间谍也已开始涉足。
网络安全领域普遍存在夸张炒作现象,恐惧、不确定性和怀疑的传播亦是如此。许多软件都有缺陷,不可能全都如此严重。不过,从方方面面来讲,Log4j(也叫Log4Shell)漏洞并没有被夸大,其中原因有很多。首先是Log4j本身的普遍性。它能帮助开发人员追踪应用程序中的一切情况。由于其开源性和可靠性,人们常常会选择插入Log4j,而不是从头建立自己的日志库。此外,许多现代软件是由各种供应商和产品组合而成,许多潜在受害者很难、甚至不可能全面了解自己的受影响程度。
要想利用Log4Shell也相对简单。只需发送一段恶意代码,然后等待它被日志记录下来。一旦发生这种情况,你就能在受影响的服务器上远程运行你想要的任何代码。(注意:这是简要总结,实际操作过程要稍微复杂一点。另外,Log4j2.0以前的版本似乎未受影响,此事还存在一些争论。)
正是这种严重性、简单性和普遍性的结合,让安全界感到不安。特纳布尔网络安全公司首席执行官阿米特·约伦说:“它是迄今为止最大、最严重的一个漏洞。”
然而,到目前为止,灾难似乎迟迟没有显现。黑客绝对盯上了Log4j,据发言人埃克拉姆·艾哈迈德说,近来,捷邦安全软件科技公司已经发现超过180万次利用该漏洞发起的攻击。在某些时刻,每分钟有100多次攻击尝试。尽管如此,目前仍以加密币挖矿机为主。
索福斯网络安全公司的高级威胁研究员肖恩·加拉格说:“矿工通常是最先涉足这些事情的人,因为此类网络犯罪风险最低。入侵之后不需要大量黑客攻击,部署起来也不需要大量键盘操作技巧……唯一需要的就是一个易受攻击的漏洞。”
Blockstream 的开采设备总容积为 300 万千瓦,也曾很多选购甚么的BTC矿机。2021 年1 月28 日,Blockstream 公布已从比特微(MicroBT)选购了使用价值2500 万美金的BTC甚么矿机...
2022年11月12日至13日,TRON DAO于哈佛大学校园内举办了一场名为“黑客之家”(Hacker House)的活动,云集众多区块链领域的优秀开发者。此次线下举办的“迷你黑客松”是2022波场黑客松大赛第三季的赛...
今日,Ankr 的部署者密钥疑似被泄露, 10 万亿枚 aBNBc 被铸造,其在 Pancake 上的交易池流动性被掏空,aBNBc 价格已几近归零。 而与以往历次攻击事件略有不同,本次攻击事件中出现了诸多令人啼...
昨日,此前曾攻击 Axie Infinity 侧链 Ronin 验证者节点、盗取价值 6.25 亿美元加密货币的“Ronin bridge exploiter”(Ronin 黑客)地址向标记为“Euler exploit...