JDWPMiner Mining-Trojaner

Der Mining-Trojaner JDWPMiner ist eine Malware-Bedrohung, die von infosec-Forschern entdeckt wurde. Diese spezielle Malware ist Teil einer bedrohlichen Angriffsoperation, die auf die Installation mit JDWP (Java Debug Wire Protocol) abzielt. JDWP ist das Protokoll, das für die Kommunikation zwischen einem Debugger und der von ihm debuggten Java Virtual Machine verwendet wird. Die Angreifer nutzen eine RCE-Schwachstelle (Remote Code Execution) aus, um einen Mining-Trojaner auszuliefern und gleichzeitig die Kontrolle über das kompromittierte System zu erlangen.

Die Angriffskette

Da Java ein gemeinsamer Bestandteil der Entwicklung aller Anwendungen ist, können Angreifer mit jeder entdeckten Schwachstelle eine beträchtliche Anzahl potenzieller Opfer infizieren. Im Fall von JDWPMiner sucht der Bedrohungsakteur nach einer Installation, bei der das Remote-Debugging nicht geschlossen wurde. Die Cyberkriminellen missbrauchen ein Java Debug RCE, um sich illegalen Zugriff zu verschaffen und dann Mining-Binärdateien bereitzustellen. Die Nutzlasten werden aus einer unsicheren Quelle abgerufen und verwendet, um einen Mining-Vorgang einzurichten. Anschließend werden die Ressourcen des Systems, hauptsächlich die CPU, für das Mining einer bestimmten Kryptowährung umgeleitet. Dadurch würden natürlich weniger Ressourcen für den normalen Betrieb auf den infizierten Geräten übrig bleiben, was zu einer geringeren Leistung und möglichen Verlusten führen würde.

Darüber hinaus fügt die Bedrohung einen Schlüssel zu authorisierter_Schlüssel hinzu, mit dem sie den Fernzugriff einrichten kann. Dann führt es vier verschiedene Methoden aus, um die Shell zu rebounden und die totale Kontrolle über den Host zu erlangen. Opfer könnten dann Datenlecks, Datenverlust oder andere negative Folgen erleiden, abhängig von den schändlichen Absichten der Angreifer. Die Bedrohung ist auch mit mehreren Persistenztechniken ausgestattet. Es verwendet crontab, cron.d und rc.local, um geplante Aufgaben oder Jobs einzurichten.

Schadensbegrenzung

Um zu verhindern, dass der JDWPMiner-Trojaner Ihr System infiltriert, können Sie mehrere einfach zu implementierende Vorsichtsmaßnahmen treffen. Schließen Sie zuerst den JDWP-Port oder ziehen Sie in Betracht, ihn aus dem Internet zu deaktivieren. Wenn Sie das Debuggen in einer Stagingumgebung durchführen, stellen Sie sicher, dass Sie den Debugmodus deaktivieren, nachdem Sie Ihre Aufgaben abgeschlossen haben. Das Deaktivieren des Java-Debug-Modus hilft auch dabei, das Eindringen der Bedrohung zu stoppen.