Bilgisayar korsanları, kriptominasyon yüklerini dağıtmak için java hata ayıklama tel protokol sunucularını kullanır


Wiz araştırma ekibinden şaşırtıcı bir açıklamaya göre, popüler bir CI/CD uygulaması olan TeamCity’yi çalıştıran Honeypot sunucularındaki teminatsız Java Hata Ayıklama Tel Protokolü (JDWP) arayüzlerini hedefleyen sofistike bir siber saldırı keşfedildi.

Ekip, savunmasız bir makineyi açığa çıkardıktan sonraki saatler içinde, saldırganların uzaktan kod yürütülmesini (RCE) elde etmek için JDWP arayüzünden yararlandığını gözlemledi.

JDWP güvenlik açıklarının hızlı kullanımı

Birden fazla örnekte görülen bu endişe verici sömürü hızı, JDWP’nin siber suçlular için bir hedef olarak yüksek öncelikli durumunun altını çizmektedir.

Kriptominasyon yükleri
Saldırı akışı

Grinnoise gibi araçları kullanan araştırmacılar, son 90 gün içinde JDWP uç noktaları için tarama 6.000’den fazla benzersiz IP adresi belirledi ve bu tehdidin ölçeğini ve aciliyetini vurguladı.

Saldırı akışı, açık JDWP bağlantı noktaları için bir tarama ile başladı ve ardından arayüzün 5005 bağlantı noktasındaki kullanılabilirliğini doğrulamak için bir el sıkışma izledi.

Saldırgan kurulduktan sonra JDWP’nin Java Sanal Makinesi (JVM) ile etkileşim kurmak, yüklü sınıfları sorgulamak ve java.lang.runtime.getruntime () ve exec () gibi yöntemleri kötü amaçlı komutları yürütmek için çağırma konusunda varsayılan kimlik doğrulama eksikliğinden yararlandı.

Kriptominasyon dağıtım

Bu komutlar, uzak bir sunucudan logService.sh adlı bir damlacının indirilmesini kolaylaştırdı ve bu da meşru bir sistem yardımcı programı olarak gizlenmiş özelleştirilmiş bir XMRIG kriptominasyon yükü yükledi.

Bu değiştirilmiş madenci, şüpheli komut satırı argümanlarından kaçınarak algılamadan kaçınmak için sabit kodlanmış yapılandırmalar içeriyordu.

Ayrıca, saldırgan, kripto para birimi cüzdan adresini gizlemek için madencilik havuzu vekillerini kullandı ve operasyonlarını izleme çabalarını karmaşıklaştırdı.

Kriptominasyon yükleri
JDWP-Handshake Protokolünü gösteren Wireshark.

Komut dosyası ayrıca, algılamayı en aza indirmek için ilk damlasının izlerini silerken, yeniden başlatmalardan veya girişlerden sonra kötü amaçlı yazılımların yeniden başlatılmasını sağlamak için kendisini kabuk başlangıç ​​dosyalarına, SystemD hizmetlerine, CRON işlerine ve önyükleme komut dosyalarına yerleştirerek kapsamlı kalıcılık mekanizmaları oluşturdu.

Bu olay, Jenkins, Elasticsearch ve Spring Boot gibi uygulamalar için geliştirme ortamlarında yaygın olarak etkinleştirilmiş bir hata ayıklama aracı olan JDWP’deki doğal risklerin kesin bir hatırlatıcısıdır.

Varsayılan olarak aktif olmasa da, JDWP genellikle yeterli güvenlik olmadan hata ayıklama modunda çalışır ve saldırganların İnternet’e maruz kalması durumunda Java süreçleri üzerinde tam kontrol sahibi olmaları için bir ağ geçidi oluşturur.

Wiz ekibi, Yara kuralları ve Wiz çalışma zamanı sensörü ile aracıssız kötü amaçlı yazılım algılama gibi çözümlerinin JDWP sömürüsü, sistem dosyası değişiklikleri ve kriptominasyon faaliyetlerini izleyerek bu tehditleri tespit edebileceğini belirtiyor.

Bu saldırı, kuruluşların hata ayıklama arayüzlerini güvence altına almak ve benzer ihlalleri önlemek için sağlam izleme uygulamak için kritik bir uyandırma çağrısı görevi görür.

Uzlaşma Göstergeleri (IOCS)

IOC TürüDeğerTanım
SHA-1A923de9df076d6c4be46191117b8cc6486cf19clogservice.sh
SHA-11879d5fa0c2ca816fcb261e96338e325e76dca09logservice.sh
SHA-118D83BA336CA6926CE8B9D68F104CFF053F0C2F9O.SH – Saldırı Script
SHA-1815bc1a79440cdc4a7e1d876ff2dc7bc4f53d25elogrote etmek
Ivır zıvır185.196.8[.]123Dosya Sunucusu
Ivır zıvır185.208.156[.]247: 3333Madencilik havuzu
İhtisashttps: // awarmcorner[.]dünyaYükler Dosya Sunucusu
Urlhttps: //s3.tebi[.]IO/DHCPDC/O.SHYük URL’si

Özel Web Semineri Uyarısı: Gelişmiş API Güvenliği İçin Intel® İşlemci Yeniliklerini Koşullandırma – Ücretsiz Kayıt



Source link