JDWPMiner挖礦木馬
JDWPMiner 挖礦木馬是由信息安全研究人員發現的惡意軟件威脅。這種特定的惡意軟件是威脅攻擊操作的一部分,該操作針對使用 JDWP(Java 調試線協議)進行安裝。 JDWP 是用於調試器和它調試的 Java 虛擬機之間通信的協議。攻擊者利用 RCE(遠程代碼執行)漏洞來提供挖礦木馬,同時建立對受感染系統的控制。
攻擊鏈
由於 Java 是所有應用程序開發的常見部分,因此任何發現的漏洞都可能使攻擊者感染大量潛在受害者。在 JDWPMiner 的案例中,威脅行為者尋找遠程調試尚未關閉的安裝。網絡犯罪分子濫用 Java Debug RCE 獲取非法訪問權限,然後提供挖礦二進製文件。有效載荷從不安全的來源獲取並用於建立挖礦操作。隨後,系統的資源,主要是 CPU,將用於挖掘特定的加密貨幣。自然,這將為在受感染設備上執行的正常操作留下更少的資源,從而導致輸出減少和潛在損失。
此外,該威脅還為authorized_key 添加了一個密鑰,允許其建立遠程訪問。然後,它執行四種不同的方法來反彈 shell 並實現對主機的完全控制。然後,根據攻擊者的惡意意圖,受害者可能會遭受數據洩露、數據丟失或其他負面結果。該威脅還配備了多種持久性技術。它使用 crontab、cron.d 和 rc.local 來建立計劃任務或作業。
減輕
為了防止 JDWPMiner 木馬侵入您的系統,您可以採取幾種易於實施的預防措施。首先,關閉 JDWP 端口或考慮從 Internet 禁用它。如果您在臨時環境中執行調試,請確保在完成任務後禁用調試模式。禁用 Java 調試模式也有助於阻止威脅的入侵。
