资金费率
资金费率热力图
多空比
大户多空比
币安/欧易/火币大户多空比
Bitfinex杠杆多空比
账号安全
资讯收藏
自选币种
我的关注
黑客利用暴露的JDWP协议进行加密货币挖矿活动
据云安全公司研究团队报告,黑客正通过攻击系统进行加密货币挖矿。研究人员发现,攻击者正在利用暴露的Java调试线协议(JDWP)接口获取受害系统的代码执行权限。
攻击手法分析
报告显示,黑客获得代码执行能力后,会在受控主机系统上部署加密货币矿机。研究人员指出:"攻击者使用经过修改的XMRig版本,其硬编码配置可规避防御系统对可疑命令行参数的检测。"此外,攻击载荷通过矿池代理隐藏加密货币钱包地址,阻碍调查人员追踪。
JDWP协议的安全隐患
研究人员在运行TeamCity(流行的持续集成/交付工具)的蜜罐服务器上观察到该攻击活动。JDWP是Java的调试通信协议,允许调试器操作本地或远程的不同进程。但由于缺乏访问控制机制,该协议暴露在互联网时可能成为攻击入口点。
研究人员解释:"虽然大多数Java应用默认不启用JDWP,但在开发和调试环境中普遍使用。许多流行应用在调试模式下会自动启动JDWP服务器,而开发者往往意识不到风险。若配置不当或暴露在外,可能导致远程代码执行漏洞。"
受影响应用与攻击规模
可能启动JDWP服务器的应用包括TeamCity、Apache Tomcat、Spring Boot等。数据显示,过去24小时内全球有2600多个IP地址被扫描JDWP端点,其中1500个被判定为恶意,1100个为可疑。这些IP主要来自香港、德国、美国等地。
攻击实施细节
攻击者利用Java虚拟机(JVM)在5005端口监听调试连接的特性,首先扫描开放的JDWP端口。确认服务可用后,执行命令下载并运行投放脚本。该脚本会:终止系统上其他矿机进程、从外部服务器下载适配系统架构的XMRig矿机、设置定时任务维持持久性、并在退出时自删除。
研究人员强调:"开源工具XMRig便于攻击者定制。本次攻击中,攻击者删除了所有命令行解析逻辑,采用硬编码配置,不仅简化部署,还能更逼真地伪装成正常进程。"
值得注意的是,近期还出现了针对Windows和Linux系统的Go语言恶意软件Hpingbot,能够发动分布式拒绝服务攻击。
