所获取的 wbw.xml 文件中包含一条将在受害者计算机上执行的嵌入式 PowerShell 命令。该命令如下：

它试图使用 System.Net.WebClient.DownloadString方法将一个名为“ 1.ps1 ”的 PowerShell 脚本下载到受害者计算机上。它还利用 Set-ExecutionPolicy Bypass 标志，确保用于攻击的内容均不会被阻止，并且在执行过程中不会生成任何提示或警告。

之后， 1.ps1 脚本将下载一个名为“xmrig.exe”的加密货币挖矿恶意程序可执行文件，以及一个 config.json 文件。这个 config.json 文件中包含供挖矿恶意程序使用的配置信息，例如加密货币钱包地址、加密矿池端点和其他配置设置信息。除此之外， 1.ps1 脚本 还包含一个 $miner_name 变量，其中存储的是一个新名称，供存储加密货币挖矿恶意程序可执行文件“xmrig.exe”在重命名时使用，在本例中，脚本代码将“xmrig.exe”重命名为“sysupdate”，然后执行该可执行文件。

1.ps1 脚本会持久驻留在受害者计算机上，以便更新 config.json 文件和挖矿恶意程序。为此，它使用了可通过 PowerShell 在本地或远程计算机上创建、删除和运行计划任务的 SchTasks.exe可执行文件。如需了解 SchTasks.exe 的更多信息，请点击 此处。该计划任务名为“Update service for Windows Service”，此脚本会再次使用-ExecutionPolicy Bypass 标志 以避免在执行过程中引发任何警告或提示，同时让 -windowstyle 隐藏标志保持隐藏状态。

感染 Linux 系统

此攻击活动利用多个 CVE 来实现远程代码执行 (RCE)，从而感染 Linux 系统。除了包含加密货币挖矿恶意程序的 Kinsing 恶意软件外，针对 Linux 的攻击载荷中还有一个远程访问木马 (RAT)。所针对的服务包括 Oracle WebLogic Server、Redis、Apache Solr、PHPUnit 和 Supervisor XML-RPC。

该活动还在 Linux 系统上利用了 Oracle WebLogic Server CVE-2020-14883。此漏洞在 Windows 系统中通过 ClassPathXmlApplicationContext 类来实现远程代码执行，而在 Linux 系统中使用的是 FileSystemXmlApplicationContext 类。其用于下载 bash 脚本的恶意 XML 文件名为“wb.xml”，而先前在 Windows 中用于下载 PowerShell 脚本的文件名为“ wbw.xml ”。

在 Linux 系统上，感染的第一步是利用下表中提供的任意 CVE 来实现远程代码执行，然后将 bash 脚本文件下载到受害者计算机上。

虽然此 bash 脚本的具体文件名可能是 s.sh、p.sh、sup.sh、d.sh、ex.sh、r.sh、spr.sh、tf.sh 或 wb.sh ，但目标几乎是完全相同的。

此 bash 脚本能阻止系统上原有的挖矿恶意程序，避免其争用算力，并禁用安全和日志记录功能。然后，它会下载使用 Go 语言编写的 Kinsing 恶意软件，通过 crontab 实现持久驻留并开始进行加密货币挖矿活动。

在受害者计算机上执行后，Kinsing 恶意软件会在 /tmp 目录中再创建一个名为“ kdevtmpfsi ”的进程（即 xmrig 加密货币挖矿恶意程序），并执行该进程。Kinsing 恶意软件将持续监测 kdevtmpfsi 进程，以确保其一直运行。

解码“命令和控制”(C2) IP 地址

该恶意软件通过使用一个名为“ getActiveC2CUrl”的函数在运行时解码 C2 IP 地址，从而与 C2 服务器进行通信。 getActiveC2CUrl 函数使用 RC4 流加密算法对明文十六进制数据执行 XOR 加密，所用明文密钥与此数据存储在相同二进制文件内。

根据 Go 语言二进制文件存储字符串的方式，所有静态字符串基本上都会串联到一起，形成一个很大的字符串 blob，这让明文密钥和明文十六进制数据能够轻易藏匿在这个超大字符串内。在对 getActiveC2CUrl 函数进行一些反向处理后，即可确定明文密钥和明文十六进制数据在内存中的位置及其长度。

getActiveC2CUrl 对 C2 十六进制数据进行解码，然后将其与密钥一起传递给另一个名为“ RC4”的函数。自定义 RC4 函数内部使用来自 RC4 Go 语言程序包的 func (c *Cipher) XORKeyStream(dst, src []byte) 函数，以生成 C2 IP 地址。

在获得 C2 十六进制数据和密码后，可以进一步对 getActiveC2CUrl 函数进行反向工程，并使用 Go 语言重写该函数，以计算活动 C2 IP 地址。

RAT 功能

Kinsing 恶意软件中还包含远程访问木马 (RAT) 功能，可在二进制文件中名为“ doTask() ”的函数中找到。 doTask 函数中包含几个根据指定输入执行的函数调用比较值得关注，分别是：

• runTaskWithScan()

• updateTask()

• startCmd()

• execTaskOut()

• masscan()

• socks()

• backconnect()

• runTaskWithHttp()

• downloadAndExecute()

在这些值得关注的函数中， startCmd() 让恶意软件可在受害者计算机上执行任意命令。

在 GET 请求成功传输到 C2 的 /get 端点后，恶意软件随即从原始的分布式 IP 地址 (194.38.20.199) 下载两个 bash 脚本，其名称分别是“ ph.sh ”和“ spre.sh”。这两个文件与我们前面看到用于初始感染计算机的 bash 脚本不同，它们各自有着不同的目的，并且包含额外的感染媒介。

我们先来看看 ph.sh 脚本。除了受害者计算机上现有的 Kinsing 恶意软件外，该脚本还从 194.38.20.199/libsystem.so 端点上下载了一个名为“ libsystem.so ”的 Rootkit。随后，ph.sh 脚本将此 Rootkit 预载入 /etc/ld.so.preload

除了先前被初始脚本感染的现有 cron 作业外， ph.sh 脚本又建立了一种持久性机制。为此，它注册了一项用于定期重复感染主机的系统服务。

如需详细了解 ph.sh 脚本所安装的 libsystem.so Rootkit 及其内部运作机制，请阅读 Trend Micro 为该特定 Rootkit 撰写的一篇精彩博文，参见 此处

在从 C2 端点收到 /get 响应时，还获取了另一个值得关注的 bash 脚本文件，即 spre.sh。其目的是检查~/.ssh/config 、 ~/.bash_history和 .ssh/known_hosts，找到受害者有权访问的任何主机的 SSH 凭据，从而进一步感染其他主机。然后， spre.sh 脚本会尝试通过所找到的 SSH 凭据登录所发现的主机并感染它们。

受感染计算机还会向 C2 端点 /mg 发出请求以获取指令，这个端点也比较值得关注。当受感染计算机向 /mg 端点发出 GET 请求时，该 C2 端点仅通过几个字符作为响应，受感染计算机随即开始与第三个 IP 地址 95.181.179.88 进行通信，该地址似乎负责通过 HTTP 以 JSON-RPC 攻击载荷的形式向受感染计算机发送挖矿命令。

解决办法

为抵御这些威胁，Akamai SIRT 建议您监测系统上的进程是否存在异常高的资源消耗和可疑的网络活动。如果任何进程出现异常高的 CPU 使用率，则可能表示存在加密货币挖矿活动。

Akamai SIRT 还建议您经常检查系统上在 crontab 下注册的 cron 作业，确保 cron 作业未与任何未知 IP 地址通信，因为这是 Linux 恶意软件建立持久性的常用方法，这里讨论的攻击活动也不例外。

在 Windows 系统上，可通过 PowerShell 并使用 SchTasks.exe /Query 命令来显示该攻击活动创建的任何计划任务，以完成同样的检查。此外还应检查正在运行的进程，确保 Linux 系统上没有名为“kinsing”或“kdevtmpfsi”的进程在运行；Windows 系统上没有名为“sysupdate”的进程。

尽可能在系统中增加高强度身份验证机制，弱密码很容易被暴力破解。另外，还要确保该加密挖矿僵尸网络活动所针对的服务非必要时不会面向互联网，例如 Oracle WebLogic Server、Redis、Apache Solr、PHPUnit 和 Supervisor XML-RPC，这样可显著降低上述服务被感染的风险。例如，如果某个 Redis 实例仅供内部系统使用，则无需让其面向互联网。

Akamai SIRT 还建议您对照下面的入侵迹象 (IOC) 部分检查系统中是否存在 IOC，以确保系统未被感染。除此之外，还请定期修补系统并遵循最佳实践。

入侵迹象 (IOC)

IP

文件