Атака на TeamCity через уязвимость Java JDWP: кейс криптомайнинга
Эксперты Wiz обнаружили атаку с использованием открытого интерфейса Java Debug Wire Protocol на сервер TeamCity
Исследовательская группа Wiz выявила попытку удаленного выполнения кода (RCE), направленную на сервер honeypot под управлением TeamCity. Основной точкой входа для злоумышленника стал неправильно настроенный интерфейс Java Debug Wire Protocol (JDWP), широко используемый для отладки Java-приложений. Отсутствие аутентификации и контроля доступа при выходе в Интернет позволило хакеру получить полный удаленный доступ и запустить произвольные команды на целевой машине.
Механизм атаки и последствия
После получения доступа к honeypot злоумышленник подтвердил активность JDWP, отправив специальный запрос на проверку связи. Это позволило получить детальную информацию о процессе Java и загруженных классах, необходимую для дальнейших этапов атаки. Используя класс Java Runtime, злоумышленник вызвал системные команды для запуска скрипта logservice.sh.
Данный скрипт выполнял несколько ключевых задач:
- Останавливал конкурирующие процессы, потребляющие много ресурсов CPU.
- Удалял модифицированную версию XMRig — популярного майнера криптовалюты.
- Обеспечивал автоматический запуск вредоносного майнера при старте системы, перезагрузках и по расписанию через Cron.
Для сокрытия своей деятельности скрипт использовал имя, максимально схожее с легитимной службой logrotate, что значительно усложняло его обнаружение системами мониторинга.
Повышенная скрытность и устойчивость вредоносной нагрузки
Настраиваемая полезная нагрузка XMRig была специально запрограммирована для устранения командных аргументов, которые могли бы вызвать подозрения или сработать системы безопасности. Это дало возможность майнеру работать максимально незаметно.
Кроме того, злоумышленник реализовал комплекс мер по закреплению присутствия в системе:
- Модификация загрузочных скриптов Linux-дистрибутивов для обеспечения автозапуска.
- Создание поддельной службы
systemd, маскирующейся под легитимный процессlogrotate, для перезапуска вредоносного кода при сбоях или остановках.
Такая стратегия демонстрирует растущую изощренность киберпреступников, которые прикладывают значительные усилия для поддержания контроля над скомпрометированными системами.
Обнаружение и защита
Для обнаружения подобных атак компания Wiz использует собственный Wiz Runtime Sensor, который отслеживает:
- Конкретные события, связанные с эксплуатацией уязвимостей RCE через JDWP.
- Активности, связанные с выполнением вредоносных команд и запуском процессов майнинга.
- Изменения системных служб и конфигураций.
Благодаря интеграции правил YARA обеспечивается быстрая реакция на появляющиеся новые угрозы, позволяющая фиксировать и блокировать инциденты на ранних этапах.
Выводы
Данный инцидент подчеркивает критические риски, связанные с неправильной конфигурацией интерфейсов JDWP и демонстрирует скорость и масштаб использования подобных уязвимостей злоумышленниками.
В условиях современной кибербезопасности важно строго контролировать доступ к отладочным протоколам и внедрять механизмы аутентификации и мониторинга, чтобы предотвращать подобные атаки.
Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.
Ознакомиться подробнее с отчетом можно по ссылке.
