Il file wbw.xml recuperato contiene un comando PowerShell integrato che viene eseguito sul computer della vittima. Il comando è il seguente:

Questo comando tenta di scaricare uno script PowerShell denominato "1.ps1"sulla macchina delle vittime utilizzando il metodo System.Net.WebClient.DownloadString . Inoltre, utilizza il flag di bypass Set-ExecutionPolicy per garantire che non venga bloccato nulla e che durante l'esecuzione non venga generato alcun prompt o avviso. 

Lo script "1.ps1" scarica quindi un file di crypto-mining eseguibile, denominato xmrig.exe, e un file config.json contenente le informazioni di configurazione che il miner deve utilizzare, ad esempio gli indirizzi del crypto-wallet, gli endpoint del pool di crypto-mining e altre impostazioni di configurazione. Oltre a questo, lo script 1.ps1 contiene anche una variabile $miner_name che memorizza il nuovo nome con il quale verrà rinominato il file eseguibile di crypto-mining, xmrig.exe; in questo caso, xmrig.exe viene rinominato in"sysopdate"e quindi eseguito. 

Lo script "1.ps1" stabilisce la persistenza sul computer della vittima per aggiornare il file config.json e il miner. Esegue questa operazione, sfruttando il file Schtasks.exeche consente di creare, eliminare ed eseguire le attività pianificate su una macchina locale o remota da PowerShell. Ulteriori informazioni sul file SchTasks.exe sono disponibili qui. L'attività pianificata è denominata"Update service for Windows Service"e anch'essa sfrutta ilil flag di bypass ExecutionPolicy per evitare che vengano generati avvisi o prompt durante l'esecuzione, e il flag WindowStyle Hidden per rimanere nascosta.

Infezione dei sistemi Linux

La campagna utilizza più CVE per eseguire la RCE e infettare i sistemi Linux. Insieme al malware Kinsing, che contiene un file di crypto-mining, i payload Linux includono anche un Trojan ad accesso remoto (RAT). I servizi presi di mira includono Oracle WebLogic Server, Redis, Apache Solr, PHPUnit e Supervisor XML-RPC.

Anche la campagna sui sistemi Linux sfrutta la vulnerabilità CVE-2020-14883 di Oracle WebLogic Server. Tuttavia, a differenza della versione per Windows, in cui la RCE viene eseguita tramite la classe  ClassPathXmlApplicationContext in Linux la RCE viene implementata mediante la classe FileSystemXmlApplicationContext . Il file XML dannoso è denominato wb.xml. Questo file scarica uno script bash, a differenza del file wbw.xml per Windows che scarica uno script PowerShell.

Sui sistemi Linux, l'infezione ha inizio con l'esecuzione della RCE, utilizzando una qualsiasi CVE tra quelle riportate nella tabella di seguito, per scaricare un file script bash sul computer della vittima.

Sebbene il nome del file di script bash abbia più varianti, tra cui s.sh , p.sh, sup.sh, d.sh, ex.sh, r.sh, spr.sh, tf.sh o wb.sh questi file fanno praticamente tutti la stessa cosa.

Lo script bash elimina tutte le altre minacce di crypto-mining esistenti nel sistema e disabilita le funzionalità di sicurezza e di accesso. Dopodiché, scarica il malware Kinsing (scritto in Golang), stabilisce la persistenza utilizzando il comando crontab e quindi inizia la sua attività di crypto-mining.

Una volta eseguito sul computer, il malware Kinsing crea un secondo processo denominato kdevtmpfsi nella directory /tmp, cioè il file miner xmrig, e lo esegue. Il malware Kinsing monitora costantemente il file kdevtmpfsi per verificare che sia in esecuzione.

Decodifica dell'indirizzo IP del server Command and Control 

Il malware comunica con il server C2 decodificandone l'indirizzo IP mediante una funzione chiamata getActiveC2CUrl. La funzione getActiveC2CUrl utilizza un cifrario a flusso RC4 in dati esadecimali con testo in chiaro XOR e una chiave di testo, entrambi memorizzati all'interno del binario. 

Per la modalità di memorizzazione delle stringhe all'interno del binario Golang,  che prevede che tutte le stringhe statiche siano praticamente concatenate l'una con l'altra, dando luogo a un grande blob di stringhe, la chiave di testo e i dati esadecimali possono essere facilmente nascosti all'interno dell'enorme stringa. Dopo qualche operazione di reverse-engineering della funzione getActiveC2CUrl è possibile individuare la posizione in memoria e la lunghezza della chiave e dei dati esadecimali.

La funzione getActiveC2CUrl decodifica i dati esadecimali C2 che, insieme alla chiave, vengono elaborati mediante una seconda funzione chiamata RC4. La funzione personalizzata RC4 utilizza la funzione func (c *Cipher) XORKeyStream(dst, src []byte) internamente dal pacchetto RC4 Golang per generare l'indirizzo IP del server C2.

Una volta ottenuti i dati esadecimali C2 e la chiave, la funzione getActiveC2CUrl può essere sottoposta a reverse-engineering e riscritta in Golang per calcolare l'indirizzo IP attivo del server C2.

Funzionalità RAT

Il malware Kinsing è dotato di funzionalità di Trojan ad accesso remoto (RAT) disponibili in una funzione denominata doTask() all'interno del binario. La funzione doTask contiene alcune interessanti chiamate di funzione che vengono eseguite in base a un determinato input

• runTaskWithScan()

• updateTask()

• startCmd()

• execTaskOut()

• masscan()

• socks()

• backconnect()

• runTaskWithHttp()

• downloadAndExecute()

Una di queste interessanti funzioni è startCmd() che consente di eseguire un comando arbitrario sul computer della vittima.

Gli script bash che vengono scaricati dall'IP di distribuzione originale 194.38.20.199 a seguito dell'esecuzione dell'endpoint /get del C2 sono definiti ph.sh e spre.sh. Questi due file sono diversi dallo script bash dannoso che abbiamo esaminato in precedenza, in quanto hanno uno scopo diverso e contengono vettori di infezione aggiuntivi.

Esaminiamo prima lo script ph.sh che scarica un rootkit chiamato libsystem.so dall'endpoint 194.38.20.199/libsystem.so in aggiunta al malware Kinsing già presente sul computer della vittima. Lo script ph.sh precarica questo rootkit in /etc/ld.so.preload

Lo script ph.sh stabilisce inoltre un secondo meccanismo di persistenza, oltre ai processi cron già esistenti precedentemente inseriti dallo script iniziale. Esegue questa operazione, registrando un servizio di sistema che reinfetta periodicamente l'host.

Per ulteriori dettagli sul rootkit libsystem.so installato dallo script ph.sh e sulle sue strutture interne, consultate il blog di Trend Micro che approfondisce l'argomento qui

Il secondo file di script bash che viene recuperato in seguito a una risposta /get da parte dell'endpoint del C2 è spre.sh. Il suo scopo è quello di diffondere l'infezione a host aggiuntivi recuperando le credenziali ssh di tutti gli host a cui la vittima ha accesso esaminando i file ~/.ssh/config , ~/.bash_history e  .ssh/known_hosts. Lo script spre.sh tenterà quindi di utilizzare il protocollo ssh per accedere agli host rilevati, utilizzando le autenticazioni ottenute, e infettare anche loro.

Un altro interessante endpoint C2, a cui la macchina infetta invia richieste di istruzioni, è l'endpoint /mg . Quando il computer infetto invia una richiesta GET all'endpoint /mg, il C2 risponde con alcuni caratteri e la macchina infetta inizierà immediatamente a comunicare con un terzo indirizzo IP, 95.181.179.88, che sembra sia responsabile dei comandi di crypto-minig inviati tramite Http al computer infetto sotto forma di un payload JSON-RPC.

Che cosa fare

Per mitigare queste minacce, il team SIRT di Akamai consiglia di monitorare i processi dei sistemi per rilevare un consumo eccessivo di risorse e attività di rete sospette. Un uso anomalo della CPU per un dato processo può essere un elemento indicativo di un'attività di crypto-mining.

Il team SIRT di Akamai consiglia inoltre di controllare frequentemente i processi cron registrati nei crontab dei sistemi per garantire che tali processi non comunichino con indirizzi IP sconosciuti, una tecnica comune del malware Linux per stabilire la persistenza, a cui la campagna trattata non fa eccezione.

Nei sistemi Windows, vanno utilizzate le stesse accortezze con PowerShell, utilizzando il comando SchTasks.exe/Query per visualizzare eventuali attività pianificate che potrebbero essere state create da questa campagna. È consigliabile controllare anche i processi in esecuzione e assicurarsi che non vi siano processi che riportano il nome kinsing o kdevtmpfsi, per i sistemi Linux, e sysupdate, per i sistemi Windows.

Ove possibile, aggiungete un'autenticazione sicura ai sistemi: le password deboli possono essere forzate in modo semplice. Inoltre, assicuratevi che i servizi comunemente presi di mira dalla campagna in questione, tra cui Oracle WebLogic Server, Redis, Apache Solr, PHPUnit e Supervisor XML-RPC, non siano connessi a Internet se non strettamente necessario, poiché questo riduce notevolmente il rischio di infezione. Ad esempio, se un'istanza Redis viene utilizzata solo da sistemi interni, non è necessario che sia connessa a Internet. 

Il team SIRT di Akamai consiglia inoltre di controllare i sistemi in base agli indicatori di compromissione (IOC) indicati nella sezione IoC riportata di seguito, per verificare che i sistemi non siano già infetti.  È consigliabile , inoltre, applicare regolarmente le patch ai sistemi e seguire le best practice.

Indicatori di compromissione (IOC)

IP

File