Los administradores de la botnet de criptominado Kingminer están intentado seguir en el negocio aplicando los parches de seguridad de Microsoft en servidores vulnerables para dejar fuera a otras botnets que intenten sacar tajada de ello.
Kingminer ha estado activo sobre unos dos años y continúa realizando ataques de fuerza bruta a servidores SQL para instalar el minero XMRig de Monero. En sus ultimas campañas, los administradores de la botnet empezaron a usar el exploit EternalBlue y cerrando la puerta al acceso remoto a los equipos comprometidos, según muestra un informe de los investigadores de seguridad de Sophos.
Como Funciona Kingminer
Los ataques empiezan con Kingminer realizando un ataque de fuerza bruta a servidores SQL expuestos a internet hasta que encuentran la contraseña para la cuenta del administrador del sistema.
Después de obtener acceso al sistema, se descargan scripts adicionales para obtener el control total de la máquina. Están usando el procedimiento xp_cmdshell que permite ejecutar una consulta SQL para lanzar una consola de comandos de Windows.
Dado que los comandos se ejecutan en el contexto del servicio MSSQL de Windows, heredan los mismos permisos, que son superiores a los de un usuario normal. En definitiva, los atacantes obtienen acceso completo al servidor vía comandos de PowerShell que les proporcionan una web Shell remota e instalan los mineros.
Fallo de seguridad EternalBlue
En las campañas recientes de Kingminer observadas por Sophos, los administradores usaron un distribuidor de EternalBlue, aunque la explotación del mismo no termino satisfactoriamente.
Después de ser filtrado por los Shadow Brokers en abril de 2017, EternalBlue se sigue usando frecuentemente en ataques. El gobierno de los EEUU lo lista en el top 10 de fallos de seguridad más explotados en los últimos años.
El reporte de Sophos se mete más de lleno en el detalle técnico detrás de la botnet Kingminer. Las conclusiones de los investigadores es que esta es una organización criminal de tamaño medio, suficientemente creativa para construir soluciones personalizadas desde proyectos opensource. El paper técnico de sophos se puede ver y descargar desde aquí