KingMiner: nuovo Cryptojacking destinato ai server Windows

30/11/2018

Cryptojacking IIS KingMiner Microsoft Microsoft SQL Server windows


I ricercatori di Check Point hanno individuato attacchi da parte di una nuova versione cryptojacking destinato ai server Windows, chiamato KingMiner. Il cryptojacking è una forma di attacco informatico che sfrutta la potenza di elaborazione delle macchine delle vittime per minare criptovaluta a favore di cybercriminali. A causa dell’aumento di valore e della popolarità delle criptovalute, gli hacker sono sempre più motivati ​​a sfruttare la potenza di calcolo dei sistemi vittima per generare illegalmente criptovalute.

Analisi del malware

In base all’analisi dei ricercatori di Check Point, il malware utilizza varie tecniche per bypassare i sistemi di rilevamento e attacca i server Windows, in particolare IIS (Microsoft Internet Information Services) e Microsoft SQL Server utilizzando, nella prima fase d’attacco, un brute-force (punto 1 in figura) per “indovinare” le password di accesso al sistema:

La seconda fase d’attacco prevede lo scaricamento e l’esecuzione (punto 2 in figura) sulla macchina della vittima di un file script di IIS (.sct). Lo script esegue le seguenti azioni:

  1. rileva l’architettura della CPU della macchina;
  2. elimina dal computer della vittima, eventuali versioni precedenti del malware;
  3. scarica (punto 3 in Figura) il payload (file 64p.zip). Questo file ha estensione .zip, ma in realtà è un file XML che, come illustrato in Figura, contiene nel suo payload un blob codificato in Base64:

Con la decodifica del codice (punto 4 e 5 in figura) si ottiene in output il reale file zip, che varia a seconda dell’architettura della macchina vittima (32 o 64 bit):

I 5 file mostrati estratti sono:

  • config.json – File di configurazione del miner CPU XMRig contenente l’indirizzo del wallet address e i mining pool privati;
  • md5.txt – File di testo contenente la semplice stringa “zzz”;
  • powered.exe – Il principale file eseguibile;
  • soundbox.dll  – File DLL contenenti funzioni utilizzate powered.exe.
  • x.txt / y.png – File blob binari che si fingono immagini.

Il file powered.exe, una volta eseguito, aggiunge il contenuto di md5.txt , ovvero la stringa “zzz”, alla DLL sandbox.dll \ active_desktop_render_x64.dll, entrambi aventi lo stesso contenuto (punto 1 della figura).

Successivamente (punto 2 in figura) powered.exe crea il miner XMRig, aggiunge alcune chiavi al registro ed esegue le seguenti funzioni contenute nella DLL:

  • ClearDesktopMonitorHook – la funzione ritorna 1;
  • King1 – crea un thread e decodifica (punto 4 in Figura) il contenuto di un file blob binario (x.txt/y.png). Il risultato è una versione modificata del miner XMRig (Monero).

La DLL contiene inoltre altre 4 funzioni: King2, King3, King4 che ritornano il valore 1 e SetDesktopMonitorHook che invoca King1.

Il miner CPU XMRig è configurato per consumare il 75% delle risorse CPU, ma in realtà pare che il consumo si attesti al 100% delle risorse disponibili.

Diffusione ed evoluzione del malware

Gli analisti di Check Point hanno dichiarato che il pool di data mining del malware è privato, l’API è stata disattivata e che il wallet non mai stato utilizzato nei mining pool pubblici. Ciò rende molto difficile per i ricercatori rintracciare i domini in uso e definire la quantità di moneta allocata\estratta dalla attività del malware. Tuttavia è stato rilevato che l’attacco è ampiamente diffuso, dal Messico all’India, dalla Norvegia a Israele.

Il malware, scoperto per la prima volta a metà giugno del 2018, risulta attualmente diffuso in almeno due versioni e attualmente si sta evolvendo velocemente. Considerato l’utilizzo di tecniche di anti evasione e i probabili aggiornamenti che rendono questa minaccia ancora difficile da rilevare, i ricercatori prevedono che la diffusione continuerà anche per il 2019.

Indicatori di Compromissione

  • IoC (.txt) – File globale : Domini, Urls, hash files (SHA1, MD5 e SHA256), IPv4
  • IoC (HASHr.txt) – Lista dei soli hash file da utilizzare in combinazione con il tool HASHr