Laut einem Bericht von Forschern des Cloud-Sicherheitsunternehmens Wiz greifen Hacker Systeme an, um Krypto-Mining zu betreiben. Die Forscher gaben an, dass die Hacker ungeschützte JDWP-Schnittstellen (Java Debug Wire Protocol) ausnutzen, um auf kompromittierten Systemen Code auszuführen.
Bericht zufolge installierten die Hacker, nachdem sie sich die Fähigkeit zur Codeausführung verschafft hatten, Krypto-Miner auf den Systemen ihrer kompromittierten Hosts. „Der Angreifer nutzte eine modifizierte Version von XMRig mit einer fest codierten Konfiguration, wodurch er verdächtige Befehlszeilenargumente umgehen konnte, die von Verteidigern häufig erkannt werden“, so die Forscher. Sie fügten hinzu, dass die Schadsoftware Mining-Pool-Proxys verwendete, um die Krypto-Wallet des Angreifers zu verschleiern und so die weitere Rückverfolgung trac
Hacker nutzen das ungeschützte JDWP für Mining-Aktivitäten aus
Die Forscher beobachteten die Aktivitäten auf ihren Honeypot-Servern, auf denen TeamCity, ein gängiges CI/CD-Tool (Continuous Integration/Continuous Delivery), lief. JDWP ist ein in Java verwendetes Kommunikationsprotokoll zum Debuggen. Mit diesem Protokoll kann der Debugger verschiedene Prozesse, eine Java-Anwendung auf demselben Rechner oder einen entfernten Rechner untersuchen.
Da JDWP jedoch über keinen Zugriffskontrollmechanismus verfügt, kann die Offenlegung gegenüber dem Internet neue Angriffsvektoren eröffnen, die Hacker als Einfallstor nutzen können, um die vollständige Kontrolle über den laufenden Java-Prozess zu erlangen. Vereinfacht gesagt, kann die Fehlkonfiguration verwendet werden, um beliebige Befehle einzuschleusen und auszuführen, um sich dauerhaft einzunisten und letztendlich Schadsoftware auszuführen.
„Obwohl JDWP in den meisten Java-Anwendungen nicht standardmäßig aktiviert ist, wird es häufig in Entwicklungs- und Debugging-Umgebungen eingesetzt“, so die Forscher. „Viele gängige Anwendungen starten beim Ausführen im Debug-Modusmaticeinen JDWP-Server, oft ohne die damit verbundenen Risiken für den Entwickler offenzulegen. Wird dies nicht ausreichend abgesichert oder ungeschützt gelassen, kann es die Tür für Sicherheitslücken zur Ausführung von Remote-Code (RCE) öffnen.“
Anwendungen wie TeamCity, Apache Tomcat, Spring Boot, Elasticsearch und Jenkins können im Debug-Modus einen JDWP-Server starten. Laut Daten von GreyNoise wurden in den letzten 24 Stunden über 2.600 IP-Adressen auf JDWP-Endpunkte überprüft. Davon gelten 1.500 als schädlich und 1.100 als verdächtig. Der Bericht erwähnt, dass die meisten dieser IP-Adressen aus Hongkong, Deutschland, den USA, Singapur und China stammen.
Die Forscher beschreiben detailliert, wie die Angriffe durchgeführt werden
Bei den von den Forschern beobachteten Angriffen nutzen die Hacker die Tatsache aus, dass die Java Virtual Machine (JVM) auf Port 5005 auf Debugger-Verbindungen wartet, um im Internet nach offenen JDWP-Ports zu suchen. Anschließend wird eine JDWP-Handshake-Anfrage gesendet, um zu bestätigen, ob die Schnittstelle aktiv ist. Sobald bestätigt ist, dass der Dienst erreichbar und interaktiv ist, führen die Hacker einen Befehl zum Abrufen von Daten aus. Dabei wird ein Dropper-Shell-Skript gestartet, das voraussichtlich eine Reihe von Aktionen ausführt.
Diese Abfolge von Aktionen umfasst das Beenden aller konkurrierenden Miner oder aller CPU-intensiven Prozesse auf dem System, das Ablegen einer modifizierten Version des XMRig- Miners für die entsprechende Systemarchitektur von einem externen Server („awarmcorner[.]world“) in „~/.config/logrotate“), das Einrichten der Persistenz durch das Einrichten von Cronjobs, um sicherzustellen, dass die Payload nach jedem Shell-Login, Neustart oder geplanten Zeitintervall erneut abgerufen und ausgeführt wird, und das Löschen beim Beenden.
„Da XMRig Open Source ist, bietet es Angreifern den Vorteil einfacher Anpassungsmöglichkeiten. In diesem Fall bedeutete dies, die gesamte Logik zum Parsen der Befehlszeile zu entfernen und die Konfiguration fest zu kodieren“, so die Forscher. „Diese Anpassung vereinfacht nicht nur die Bereitstellung, sondern ermöglicht es der Payload auch, den ursprünglichen Logrotate-Prozess überzeugender nachzuahmen.“
Windows- ins Visier genommen hat, mit Hilfe von hping3 einen verteilten Denial-of-Service-Angriff (DDoS) starten kann.
