KingMiner è una nuova e più evoluta variante di malware cryptojacking in grado di attaccare i server Windows e sfruttarne tutta la potenza di calcolo (li congestiona così al punto da bloccarli di fatto), per minare criptovalute, Monero in particolare. Il malware è stato identificato per la prima volta a metà giugno 2018 dai ricercatori di sicurezza di Check Point, ma in quest’ultima variante individuata nelle ultime ore il suo codice malevolo si è ulteriormente evoluto diventando ancora più efficiente e pericoloso.
Indice degli argomenti
Cryptojacking: ecco di cosa si tratta
Con il termine cryptojacking viene individuato una particolare tipologia di malware utilizzato per effettuare attacchi informatici che sfruttano la potenza di elaborazione delle macchine delle vittime per minare criptovaluta a favore dei cybercriminali.
Nell’ultimo anno si è assistito ad una crescita esponenziale di attacchi di tipo crypto-mining: l’aumento del valore e della popolarità delle cryptovalute ha motivato gli hacker a sfruttare la potenza della CPU delle macchine delle loro vittime per le operazioni di crypto-mining.
L’ultima variante di KingMiner rappresenta una pericolosa evoluzione dei malware cryptojacking in quanto potrebbe, in teoria, bloccare l’operatività dei server infettati con pesanti ripercussioni su tutte le attività produttive che utilizzano il collegamento a queste macchine.
Difendersi da KingMiner: i consigli degli esperti
Secondo Gerardo Costabile, CEO di DeepCyber, “questo tipo di attacco è molto subdolo perché è uno di quei casi che non sfrutta una vulnerabilità tecnologica del sistema, quindi non esiste una patch di sicurezza specifica”.
Costabile suggerisce, quindi, l’importanza di “approcciare la prevenzione con una modalità volta a configurare i sistemi per ridurre il rischio di attacchi a forza bruta su applicazioni e database, oltre che ipotizzare più in generale la presenza di sistemi di protezione perimetrale di nuova generazione. Molto utile, in un processo di cyber threat intelligence maturo, introdurre e contestualizzare gli indicatori di compromissione prodotti dal CERT-PA all’interno dei propri sistemi di difesa, per una veloce detection e response”.
“KingMiner è uno dei primi casi di malware adattivi”, ci dice Pierguido Iezzi, Swascan Cybersecurity Strategy Director e Co Founder. “Per intenderci, è un malware di nuova generazione che anticipa e mostra le possibili potenzialità e i rischi delle nuove e prossime minacce di malware capaci di sfruttare l’intelligenza artificiale”.
Secondo Iezzi, “la vera particolarità di KingMiner è proprio la capacità di utilizzare diverse tecniche di evasione per bypassare i metodi e strumenti di rilevamento e allo stesso tempo di “autoaggiornasi” alla versione corrente. Di fatto un malware che sfrutta il i benefici e funzionalità del lato oscuro dell’AI”.
“La vera criticità è il fatto che KingMiner rappresenta una nuova famiglia di malware. Nei prossimi mesi e nel 2019 saranno tanti e diversi i codici malevoli di questo tipo: è necessario affrontare questa minaccia con la consapevolezza che è un malware versione beta di quello che saranno i cosiddetti malware AI”.
“KingMiner è solo l’inizio”, ribadisce Iezzi, che continua la sua analisi facendoci notare che “siamo nell’era dell’intelligenza artificiale e questo è un dato di fatto. Non esiste settore di business o processo aziendale in cui l’AI o il machine learning non possa prevedere potenziali applicazioni. Sarebbe difficile trovare un settore in cui l’intelligenza artificiale o l’apprendimento automatico non trovino naturale sfogo. La cybersecurity non poteva essere un’eccezione. È quindi ovvio che i criminal hacker non potessero rinunciare ad una tecnologia così pervasiva come l’AI e il machine learning. Non è un caso che oggi parliamo di AI powered Cyber Attack”.
KingMiner: analisi di un attacco contro i server Windows
La nuova variante del malware KingMiner utilizza varie tecniche di offuscamento ed evasione per bypassare i sistemi di rilevamento e il suo codice malevolo è stato programmato dai criminal hacker per infettare i server Windows, in particolare IIS (Microsoft Internet Information Services) e Microsoft SQL Server, in due differenti fasi di attacco.
Nella prima fase, il malware utilizza un attacco di tipo brute force per “indovinare” le credenziali di accesso al sistema infetto.
KingMiner inizia quindi la seconda fase d’attacco che prevede il download e la successiva esecuzione sulla macchina della vittima di un file script di IIS (con estensione .sct). Lo script esegue quindi le seguenti azioni:
- rileva l’architettura della CPU della macchina;
- elimina dal computer della vittima eventuali versioni precedenti del malware;
- scarica il file 64p.zip che rappresenta il payload vero e proprio del malware. Questo file ha estensione .zip, ma in realtà è un file XML contenente un blob codificato in Base64.
Il malware provvede quindi a decodificare il codice XML per ottenere il vero e proprio file ZIP che varia a seconda dell’architettura della macchina vittima (32 o 64 bit).
Entrambi gli archivi compressi contengono 5 differenti file:
- config.json: è il file di configurazione del miner CPU XMRig contenente l’indirizzo del wallet address e i mining pool privati;
- md5.txt: si tratta di un semplice file di testo contenente la stringa “zzz”;
- powered.exe: è il file eseguibile del malware;
- soundbox.dll: si tratta di una libreria DLL contenenti funzioni utilizzate dall’eseguibile powered.exe;
- x.txt / y.png: sono file blob binari (il primo si trova nell’archivio ZIP destinato alle macchine con architettura a 32 bit, il secondo in quello per le macchine con architettura a 64 bit) che si fingono immagini.
Il file powered.exe, in particolare, una volta eseguito aggiunge il contenuto di md5.txt, ovvero la stringa “zzz”, alla libreria DLL sandbox.dll \ active_desktop_render_x64.dll, entrambe con lo stesso contenuto.
Successivamente, powered.exe crea il miner XMRig, aggiunge alcune chiavi al registro di configurazione di Windows ed esegue alcune funzioni seguendo le istruzioni contenute nella DLL:
- ClearDesktopMonitorHook: la funzione ritorna 1;
- King1: crea un thread e decodifica il contenuto del file blob binario (x.txt/y.png). Il risultato è una versione modificata del miner XMRig (Monero).
La DLL contiene inoltre le istruzioni per eseguire altre 4 funzioni necessarie al funzionamento del malware e poi il comando SetDesktopMonitorHook che invoca di nuovo la funzione King1.
A questo punto, il miner CPU XMRig è correttamente configurato e può entrare in azione. Dall’analisi del file config.json risulta essere configurato per consumare il 75% delle risorse CPU, ma in realtà pare che il consumo si attesti al 100% delle risorse disponibili, bloccando di fatto l’operatività del server infetto.
Gli analisti di Check Point hanno inoltre osservato che i criminal hacker hanno reso privato il pool di data mining e che non hanno mai utilizzato il wallet in mining pool pubblici: entrambi questi stratagemmi rendono difficile rintracciare i domini in uso e definire la quantità di moneta allocata/estratta dall’attività del malware.
