JDWPMiner 마이닝 트로이 목마

JDWPMiner Mining Trojan은 infosec 연구원이 발견한 맬웨어 위협입니다. 이 특정 멀웨어는 JDWP(Java Debug Wire Protocol)를 사용하여 설치를 목표로 하는 위협적인 공격 작업의 일부입니다. JDWP는 디버거와 디버깅하는 Java 가상 머신 간의 통신에 사용되는 프로토콜입니다. 공격자는 RCE(Remote Code Execution) 취약점을 악용하여 손상된 시스템에 대한 제어 설정과 함께 마이닝 트로이 목마를 전달합니다.

공격 사슬

Java가 모든 애플리케이션 개발의 공통된 부분이기 때문에 발견된 취약점으로 인해 공격자가 상당한 양의 잠재적 희생자를 감염시킬 수 있습니다. JDWPMiner의 경우 위협 행위자는 원격 디버깅이 종료되지 않은 설치를 찾습니다. 사이버 범죄자는 Java Debug RCE를 악용하여 불법 액세스 권한을 얻은 다음 마이닝 바이너리를 제공합니다. 페이로드는 안전하지 않은 소스에서 가져와 마이닝 작업을 설정하는 데 사용됩니다. 결과적으로 시스템의 리소스, 주로 CPU는 특정 암호화폐를 채굴하는 데 전용됩니다. 당연히 이것은 감염된 장치에서 수행되는 정상적인 작업을 위한 더 적은 리소스를 남겨두고 출력 감소와 잠재적 손실로 이어집니다.

또한 위협 요소는 원격 액세스를 설정할 수 있도록 하는 키를 authorized_key에 추가합니다. 그런 다음 4가지 다른 방법을 실행하여 셸을 리바운드하고 호스트를 완전히 제어합니다. 피해자는 공격자의 사악한 의도에 따라 데이터 유출, 데이터 손실 또는 기타 부정적인 결과를 겪을 수 있습니다. 위협은 또한 여러 지속성 기술을 갖추고 있습니다. crontab, cron.d 및 rc.local을 사용하여 예약된 작업 또는 작업을 설정합니다.

완화

JDWPMiner 트로이 목마가 시스템에 침투하는 것을 방지하기 위해 구현하기 쉬운 몇 가지 예방 조치를 취할 수 있습니다. 먼저 JDWP 포트를 닫거나 인터넷에서 비활성화하는 것을 고려하십시오. 스테이징 환경에서 디버깅을 수행하는 경우 작업을 완료한 후 디버그 모드를 비활성화해야 합니다. Java 디버그 모드를 비활성화하면 위협의 침입을 막는 데도 도움이 됩니다.