在线无码中文破解|日本影院一区二区三区|五月激情Av在线|国产香蕉视频一区|国产老熟女AAAA|云霸高清91视频|久久久www视频|在线熟女网站无码视频|国产精品 国产|韩日精品中文字幕

根據(jù)云安全公司 Wiz 研究人員的報告，黑客目前正在攻擊系統(tǒng)以進行加密貨幣挖礦活動。研究人員表示，黑客正在利用暴露的 Java 調(diào)試線協(xié)議 (JDWP) 接口進行攻擊，以獲取在受感染系統(tǒng)上執(zhí)行代碼的能力。

根據(jù)報告在獲得代碼執(zhí)行能力后，黑客在受感染主機的系統(tǒng)上部署了加密貨幣挖礦程序。研究人員表示：“攻擊者使用了修改版的XMRig，并對其進行了硬編碼配置，從而避開了防御者經(jīng)常標記的可疑命令行參數(shù)?！?他們補充說，該有效載荷使用礦池代理來隱藏攻擊者的加密貨幣錢包，從而阻止調(diào)查人員進一步追蹤。

黑客利用暴露的 JDWP 進行挖礦活動

研究人員觀察到針對運行 TeamCity（一種流行的持續(xù)集成和持續(xù)交付 (CI/CD) 工具）的蜜罐服務器的活動。JDWP 是 Java 中用于調(diào)試的通信協(xié)議。借助該協(xié)議，調(diào)試器可以運行于不同的進程、同一臺計算機上的 Java 應用程序或遠程計算機上。

然而，由于 JDWP 缺乏訪問控制機制，將其暴露在互聯(lián)網(wǎng)上可能會打開新的攻擊向量，黑客可以濫用這些向量作為切入點，從而完全控制正在運行的 Java 進程。簡而言之，可以利用錯誤配置注入并執(zhí)行任意命令，從而建立持久性并最終運行惡意負載。

研究人員表示：“雖然大多數(shù) Java 應用程序默認不啟用 JDWP，但它在開發(fā)和調(diào)試環(huán)境中卻很常見。許多流行的應用程序在調(diào)試模式下運行時會自動啟動 JDWP 服務器，而開發(fā)人員通常不會察覺到其中的風險。如果安全措施不當或暴露在外，這可能會為遠程代碼執(zhí)行 (RCE) 漏洞打開大門?！?/p>

在調(diào)試模式下，一些可能啟動 JDWP 服務器的應用程序包括 TeamCity、Apache Tomcat、Spring Boot、Elasticsearch、Jenkins 等。GreyNoise 的數(shù)據(jù)顯示，過去 24 小時內(nèi)，已掃描超過 2600 個 IP 地址以查找 JDWP 端點，其中 1500 個 IP 地址為惡意 IP 地址，1100 個 IP 地址被歸類為可疑 IP 地址。報告提到，這些 IP 地址大多來自香港、德國、美國、新加坡和中國。

研究人員詳細說明了攻擊是如何進行的

在研究人員觀察到的攻擊中，黑客利用 Java 虛擬機 (JVM) 在 5005 端口監(jiān)聽調(diào)試器連接這一特性，啟動對互聯(lián)網(wǎng)上開放的 JDWP 端口的掃描。之后，會發(fā)送 JDWP-Handshake 請求，以確認接口是否處于活動狀態(tài)。一旦確認服務已暴露且可交互，黑客便會執(zhí)行獲取命令，執(zhí)行一個預計會執(zhí)行一系列操作的 dropper shell 腳本。

這一系列行動包括殺死所有競爭礦工或系統(tǒng)上的任何高 CPU 進程，放棄 XMRig 的修改版本miner針對適當?shù)南到y(tǒng)架構(gòu)，從外部服務器（“awarmcorner[.]world”）復制到“~/.config/logrotate”，通過設置 cron 作業(yè)建立持久性，確保在每次 shell 登錄、重啟或預定的時間間隔后重新獲取并重新執(zhí)行有效載荷，并在退出時自行刪除。

研究人員表示：“XMRig 開源，為攻擊者提供了輕松定制的便利，在本例中，這涉及剝離所有命令行解析邏輯并對配置進行硬編碼。這一調(diào)整不僅簡化了部署，還使有效載荷能夠更逼真地模擬原始的 logrotate 過程?！?/p>

此次披露正值 NSFOCUS 注意到一種名為 Hpingbot 的新型 Go 惡意軟件正不斷演變之際，該惡意軟件一直針對視窗并且 Linux 系統(tǒng)可以使用 hping3 發(fā)起分布式拒絕服務 (DDoS) 攻擊。

Cryptopolitan 學院：厭倦了市場波動？了解 DeFi 如何助你建立穩(wěn)定的被動收入。立即注冊