O arquivo wbw.xml obtido contém um comando incorporado do PowerShell, que é executado na máquina da vítima. O comando é:

Ele tenta baixar um script do PowerShell chamado “ 1.ps1" na máquina da vítima usando o método System.Net.WebClient.DownloadString . Ele também utiliza o sinalizador de desvio Set-ExecutionPolicy para garantir que nada seja bloqueado e que nenhum prompt ou aviso seja gerado durante a execução. 

O script 1.ps1 baixa um criptominerador executável chamado xmrig.exe, bem como um arquivo config.json , que contém informações de configuração para o minerador consumir,  como endereços de criptocarteiras, pontos de extremidade de criptopools e configurações adicionais. Além disso, o script 1.ps1 também contém uma variável $miner_name que armazena o novo nome para o qual o criptominerador executável, xmrig.exe, será renomeado. Nesse caso, xmrig.exe será  renomeado para “sysupdate” e, em seguida, executado. 

O script 1.ps1 estabelece persistência na máquina da vítima para atualizar o arquivo config.json e o minerador. Isso é feito utilizando SchTasks.exe, que permite a criação, exclusão e execução de tarefas programadas em uma máquina local ou remota no PowerShell. Mais informações sobre SchTasks.exe podem ser encontradas aqui. A tarefa programada é denominada “Serviço de atualização para o Serviço do Windows" e novamente utiliza osinalizador de desvio -ExecutionPolicy para evitar o surgimento de avisos ou prompts durante a execução, bem como o sinalizador oculto -windowstyle para permanecer oculto.

Infecção de sistemas Linux

A campanha está utilizando vários CVEs para atingir a RCE a fim de infectar sistemas Linux. Junto com o malware Kinsing, que contém um criptominerador, as cargas do Linux também têm  um cavalo de troia de acesso remoto (RAT). Os serviços-alvo incluem o Oracle WebLogic Server, Redis, Apache Solr, PHPUnit e Supervisor XML-RPC.

O CVE-2020-14883 do Oracle WebLogic Server também é utilizado por esta campanha em sistemas Linux. No entanto, diferentemente da versão Windows dessa vulnerabilidade, em que a RCE acontece por meio da classe  ClassPathXmlApplicationContext , no Linux, isso acontece por meio da classe FileSystemXmlApplicationContext . O arquivo XML mal-intencionado é chamado de wb.xml, que baixa um script bash, em vez do wbw.xml anterior para Windows, que baixa um script do PowerShell.

Em sistemas Linux, a infecção começa atingindo a RCE com qualquer um dos CVEs fornecidos na tabela a seguir para baixar um arquivo de script bash na máquina da vítima.

Embora o nome do arquivo de script bash varie entre s.sh , p.sh, sup.sh, d.sh, ex.sh, r.sh, spr.sh, tf.sh ou wb.sh , todos fazem praticamente a mesma coisa.

O script bash elimina todos os mineradores concorrentes que podem existir no sistema e desativa os recursos de segurança e registro. Em seguida, ele faz o download do malware Kinsing (escrito em Golang), estabelece a persistência usando o crontab e, em seguida, inicia a criptomineração.

Uma vez executado na máquina da vítima, o malware Kinsing cria um segundo processo chamado kdevtmpfsi no diretório /tmp, que é o criptominerador xmrig, e o executa. O malware Kinsing monitora constantemente o processo kdevtmpfsi para garantir que esteja em execução.

Decodificação do endereço IP de comando & controle 

A maneira como o malware se comunica com o servidor C2 é decodificando o endereço IP C2 no tempo de execução usando uma função chamada getActiveC2CUrl. A função getActiveC2CUrl usa uma cifra de fluxo RC4 para dados hexadecimais de texto sem formatação XOR com uma chave de texto sem formatação que são armazenadas no binário. 

Devido à natureza de como as strings são armazenadas em um binário Golang,  em que todas as strings estáticas ficam basicamente concatenadas umas com as outras, resultando em um grande blob de string, a chave de texto sem formatação e os dados hexadecimais podem ser facilmente ocultados dentro dessa enorme string. Depois de certa reversão na função getActiveC2CUrl , o local na memória e o comprimento da chave e dos dados hexadecimais podem ser encontrados.

A função getActiveC2CUrl decodifica os dados hexagonais C2 e, em seguida, juntamente com a chave, eles são passados para uma segunda função chamada RC4. A função personalizada RC4 usa a função func (c *Cipher) XORKeyStream(dst, src []byte) internamente a partir do pacote golang rc4 para gerar o endereço IP C2.

Quando os dados hexagonais C2 e a chave são obtidos, a função getActiveC2CUrl pode sofrer engenharia reversa e ser reescrita posteriormente em Golang para calcular o endereço IP C2 ativo.

Recursos de RAT

O malware Kinsing tem recursos de cavalo de troia de acesso remoto (RAT) que podem ser encontrados em uma função chamada doTask() dentro do binário. A função doTask contém algumas chamadas de função interessantes que executa com base em uma determinada entrada

• runTaskWithScan()

• updateTask()

• startCmd()

• execTaskOut()

• masscan()

• socks()

• backconnect()

• runTaskWithHttp()

• downloadAndExecute()

Uma dessas funções interessantes é startCmd() , que permite que um comando arbitrário seja executado na máquina da vítima.

Os scripts bash que são então baixados do IP de distribuição original 194.38.20.199 como resultado do acesso ao ponto de extremidade /get do C2 são chamados de ph.sh e spre.sh. Esses dois arquivos são diferentes do script bash de infecção inicial que vimos anteriormente. Cada um deles tem uma finalidade diferente e contém vetores de infecção adicionais.

Primeiro, vamos examinar o script ph.sh , que faz download de um rootkit chamado libsystem.so do ponto de extremidade 194.38.20.199/libsystem.so , além do malware Kinsing existente na máquina da vítima. Em seguida, o script ph.sh pré-carrega esse rootkit em /etc/ld.so.preload

O script ph.sh também estabelece um segundo mecanismo de persistência, além das tarefas cron já existentes que foram injetadas anteriormente pelo script inicial. Ele faz isso registrando um serviço de sistema que periodicamente reinfectará o host.

Se quiser saber mais sobre o rootkit libsystem.so que o script ph.sh instala e seu funcionamento interno, a Trend Micro escreveu um blog fantástico sobre esse rootkit específico que pode ser encontrado aqui

O segundo arquivo de script bash interessante que é obtido devido a uma resposta /get do ponto de extremidade C2 é spre.sh. Seu objetivo é espalhar a infecção para outros hosts encontrando credenciais ssh de qualquer host ao qual a vítima tenha acesso e examinando  ~/.ssh/config , ~/.bash_history  e  .ssh/known_hosts. O script spre.sh então fará tentativas no ssh dos hosts descobertos usando as credenciais obtidas que foram encontradas e os infectam também.

Outro ponto de extremidade C2 interessante do qual a máquina infectada solicita instruções é o ponto de extremidade /mg . Quando a máquina infectada faz uma solicitação GET ao ponto de extremidade /mg , o C2 responde com alguns caracteres, e a máquina infectada começa imediatamente a se comunicar com um terceiro endereço IP, 95.181.179.88, que parece ser responsável por fornecer comandos de mineração para a máquina infectada na forma de uma carga JSON-RPC por HTTP.

O que fazer

Para mitigar essas ameaças, a SIRT da Akamai aconselha o monitoramento dos processos em seus sistemas quanto a um consumo de recursos anormalmente alto e atividade de rede suspeita. Um alto uso anormal de um determinado processo pela CPU pode ser um indicador de atividade de criptomineração.

A SIRT da Akamai também recomenda que você verifique com frequência as tarefas cron registradas nas crontabs de seus sistemas para garantir que as tarefas cron não estejam se comunicando com nenhum endereço IP desconhecido, que é uma técnica comum para o malware Linux estabelecer persistência, e a campanha discutida não é exceção.

Em sistemas Windows, o mesmo deve ser feito com o PowerShell usando SchTasks.exe /Query para exibir todas as tarefas agendadas que possam ter sido criadas por essa campanha. Verifique também os processos em execução nos seus sistemas Linux e certifique-se de que os processos com o nome kinsing ou kdevtmpfsi não estejam em execução e que um processo chamado sysupdate não esteja em execução em seus sistemas Windows.

Adicione autenticação forte a seus sistemas sempre que possível. Senhas fracas podem sofrer facilmente ataques de força bruta. Além disso, certifique-se de que os serviços que são alvos da campanha discutida, que incluem Oracle WebLogic Server, Redis, Apache Solr, PHPUnit e Supervisor XML-RPC, não estejam conectados à Internet se não precisarem estar, o que reduz muito o risco de esses serviços serem infectados. Por exemplo, se uma instância do Redis for usada apenas por sistemas internos, ela não precisará estar conectada à Internet. 

A SIRT da Akamai também recomenda verificar seus sistemas em relação às indicações de comprometimento (IOC) fornecidas na seção de IoCs abaixo para garantir que seus sistemas não estejam infectados.  Além disso, aplique patches em seus sistemas regularmente e siga as práticas recomendadas.

Indicações de comprometimento (IOC)

IPs

Arquivos