JDWPMiner Mining Trojan

JDWPMiner Madencilik Truva Atı, infosec araştırmacıları tarafından keşfedilen bir kötü amaçlı yazılım tehdididir. Bu özel kötü amaçlı yazılım, JDWP (Java Hata Ayıklama Tel Protokolü) kullanılarak yüklemeyi hedefleyen tehdit edici bir saldırı operasyonunun parçasıdır. JDWP, bir hata ayıklayıcı ile hata ayıkladığı Java sanal makinesi arasındaki iletişim için kullanılan protokoldür. Saldırganlar, güvenliği ihlal edilen sistem üzerinde denetim kurmanın yanı sıra bir madencilik Truva Atı sunmak için bir RCE (Uzaktan Kod Yürütme) güvenlik açığından yararlanır.

Saldırı Zinciri

Java, tüm uygulamaların geliştirilmesinin ortak bir parçası olduğundan, keşfedilen herhangi bir güvenlik açığı, saldırganların önemli miktarda potansiyel kurbana bulaşmasına izin verebilir. JDWPMiner örneğinde, tehdit aktörü uzaktan hata ayıklamanın kapatılmadığı bir kurulum arar. Siber suçlular, yasadışı erişim elde etmek için bir Java Hata Ayıklama RCE'sini kötüye kullanır ve ardından madencilik ikili dosyaları sunar. Yükler, güvenli olmayan bir kaynaktan alınır ve bir madencilik operasyonu oluşturmak için kullanılır. Daha sonra, sistemin kaynakları, özellikle CPU, belirli bir kripto para biriminin madenciliğine yönlendirilecektir. Doğal olarak, bu, virüslü cihazlarda gerçekleştirilen normal işlemler için daha az kaynak bırakarak çıktı ve potansiyel kayıplarda azalmaya neden olur.

Ayrıca, tehdit, yetkili_anahtar'a uzaktan erişim kurmasını sağlayan bir anahtar ekler. Ardından, kabuğu geri tepmek ve ana bilgisayar üzerinde tam kontrol sağlamak için dört farklı yöntem yürütür. Kurbanlar, saldırganların hain niyetlerine bağlı olarak veri sızıntılarına, veri kaybına veya diğer olumsuz sonuçlara maruz kalabilir. Tehdit ayrıca çoklu kalıcılık teknikleri ile donatılmıştır. Zamanlanmış görevler veya işler oluşturmak için crontab, cron.d ve rc.local kullanır.

Azaltma

JDWPMiner Truva Atı'nın sisteminize sızmasını önlemek için uygulaması kolay birkaç önlem alabilirsiniz. İlk olarak, JDWP bağlantı noktasını kapatın veya İnternet'ten devre dışı bırakmayı düşünün. Bir hazırlama ortamında hata ayıklama gerçekleştiriyorsanız, görevlerinizi tamamladıktan sonra Hata Ayıklama modunu devre dışı bıraktığınızdan emin olun. Java Hata Ayıklama modunu devre dışı bırakmak, tehdidin izinsiz girişini durdurmaya da yardımcı olacaktır.