JDWPMinerマイニングトロイの木馬

JDWPMinerマイニングトロイの木馬は、infosecの研究者によって発見されたマルウェアの脅威です。この特定のマルウェアは、JDWP（Java Debug Wire Protocol）を使用したインストールを標的とする脅威的な攻撃操作の一部です。 JDWPは、デバッガーとデバッガーがデバッグするJava仮想マシン間の通信に使用されるプロトコルです。攻撃者は、RCE（Remote Code Execution）の脆弱性を悪用して、侵入先のシステムに対する制御を確立するとともに、マイニング型トロイの木馬を配信します。

アタックチェーン

Javaはすべてのアプリケーションの開発に共通する部分であるため、発見された脆弱性により、攻撃者はかなりの量の潜在的な被害者に感染する可能性があります。 JDWPMinerの場合、攻撃者はリモートデバッグが閉じられていないインストールを探します。サイバー犯罪者は、Java Debug RCEを悪用して不正アクセスを取得し、マイニングバイナリを配信します。ペイロードは安全でないソースからフェッチされ、マイニング操作を確立するために使用されます。その後、システムのリソース、主にCPUは、特定の暗号通貨のマイニングに向けられます。当然、これにより、感染したデバイスで実行される通常の操作に必要なリソースが少なくなり、出力が低下し、損失が発生する可能性があります。

さらに、脅威はauthorized_keyにキーを追加し、リモートアクセスを確立できるようにします。次に、4つの異なるメソッドを実行してシェルをリバウンドし、ホストを完全に制御します。被害者は、攻撃者の悪意に応じて、データ漏洩、データ損失、またはその他の悪影響を被る可能性があります。この脅威には、複数の永続化手法も備わっています。 crontab、cron.d、およびrc.localを使用して、スケジュールされたタスクまたはジョブを確立します。

緩和

JDWPMinerトロイの木馬がシステムに侵入するのを防ぐために、実装が簡単ないくつかの予防策を講じることができます。まず、JDWPポートを閉じるか、インターネットからの無効化を検討してください。ステージング環境でデバッグを実行している場合は、タスクの完了後にデバッグモードを無効にしてください。 Javaデバッグモードを無効にすると、脅威の侵入を防ぐのにも役立ちます。