s0599-kinsing - RunkIntel

# Kinsing > Tipo: **cryptominer** · S0599 · [MITRE ATT&CK](https://attack.mitre.org/software/S0599) > [!abstract] Visão Geral > Malware cryptominer baseado em Go, ativo desde 2019, especializado em comprometer ambientes Linux e containers Docker. Explora ativamente vulnerabilidades em software open source (Apache ActiveMQ, Log4j, Confluence, Openfire, Redis) e APIs Docker expostas. Em 2023-2024, 91% dos alvos eram aplicações open source. Propaga-se lateralmente via SSH usando credenciais roubadas do historico de shell. ## Descrição [[s0599-kinsing|Kinsing]] e um malware cryptominer escrito em Go, identificado pela primeira vez em 2019 e também conhecido como h2miner. Difere de cryptominers simples por sua arquitetura de propagação automatica: após comprometer um host, o [[s0599-kinsing|Kinsing]] busca ativamente por outros sistemas vulneraveis na rede usando SSH com credenciais roubadas ([[t1021-004-ssh|T1021.004]]) e por servicos expostos adicionais. Seu foco e o ecossistema Linux/containers - específicamente ambientes cloud-native onde Docker e Kubernetes sao amplamente utilizados sem configuracoes de segurança adequadas. A infraestrutura de ataque do [[s0599-kinsing|Kinsing]] e organizada em tres camadas distintas: **servidores de varredura** (identificam hosts vulneraveis), **servidores de download** (hospedam payloads e scripts de instalacao) e **servidores C2** (coordenam a operação e pool de mineracao). Os servidores C2 historicamente resolvem para IPs na Russia. O malware explora vulnerabilidades em aplicações open source populares, incluindo Apache ActiveMQ ([[cve-2023-46604|CVE-2023-46604]]), Log4Shell ([[cve-2021-44228|CVE-2021-44228]]), Apache NiFi, Apache Tomcat, Confluence e Openfire ([[cve-2023-32315|CVE-2023-32315]]). Em ambientes Docker, o [[s0599-kinsing|Kinsing]] explora APIs Docker expostas sem autenticação ([[t1133-external-remote-services|T1133]]) para implantar containers maliciosos ([[t1610-deploy-container|T1610]]). Uma vez dentro do container, executa comandos via API de administracao do container ([[t1609-container-administration-command|T1609]]) para escapar para o host, onde instala o minerador XMRig para Monero. O malware também rouba chaves SSH privadas ([[t1552-004-private-keys|T1552.004]]) e historico de shell ([[t1552-003-shell-history|T1552.003]]) para propagação lateral e roubo de credenciais adicionais. A persistência e mantida via cron jobs ([[t1053-003-cron|T1053.003]]) que redownload e reinstalam o minerador caso sejá removido. O Kinsing também mata processos concorrentes de outros cryptominers e elimina arquivos de monitoramento para garantir uso exclusivo da CPU. **Plataformas:** Containers, Linux ## Como Funciona O Kinsing realiza varredura continua da internet por servicos vulneraveis. Ao encontrar um alvo (ex: Docker API exposta ou Confluence vulnerável), explora a vulnerabilidade para executar um shell script. O script baixa o binario Kinsing, instala XMRig para mineracao de Monero, estabelece persistência via cron, rouba credenciais e inicia nova varredura para propagação. ## Attack Flow ```mermaid graph TB A["🔍 Varredura Internet Docker API exposta CVEs em open source apps"] --> B["💥 Exploração CVE-2023-46604 ActiveMQ CVE-2021-44228 Log4j CVE-2023-32315 Openfire"] B --> C["📥 Download Payload curl/wget para IP russo Binario Go + XMRig"] C --> D["⛏️ Mineracao Monero XMRig configurado Pool C2 na Russia"] D --> E["🔑 Roubo Credenciais Chaves SSH privadas Historico de shell"] E --> F["🌐 Propagação Lateral SSH para hosts da rede Varredura de novos alvos"] F --> G["🔁 Persistência Cron job reinsatala Mata outros mineradores"] classDef scan fill:#2980b9,stroke:#1a5276,color:#fff classDef exploit fill:#c0392b,stroke:#922b21,color:#fff classDef mine fill:#f39c12,stroke:#d68910,color:#fff classDef lateral fill:#8e44ad,stroke:#6c3483,color:#fff classDef persist fill:#27ae60,stroke:#1e8449,color:#fff class A scan class B,C exploit class D mine class E,F lateral class G persist ``` ## Vulnerabilidades Exploradas ```mermaid graph TB K["Kinsing - Vetores de Ataque"] --> D["Docker API Porta 2375 exposta Sem autenticação"] K --> L["Log4Shell CVE-2021-44228 CVSS 10.0"] K --> A["Apache ActiveMQ CVE-2023-46604 CVSS 10.0"] K --> O["Openfire CVE-2023-32315 CVSS 9.8"] K --> C["Confluence CVE-2023-22527 CVSS 10.0"] K --> R["Redis Porta 6379 exposta Sem autenticação"] classDef cve fill:#e74c3c,stroke:#c0392b,color:#fff classDef misconfig fill:#e67e22,stroke:#d35400,color:#fff classDef center fill:#2c3e50,stroke:#1a252f,color:#fff class K center class L,A,O,C cve class D,R misconfig ``` ## Técnicas Utilizadas - [[t1133-external-remote-services|T1133 - External Remote Services]] - Docker API exposta sem autenticação - [[t1610-deploy-container|T1610 - Deploy Container]] - implantação de container malicioso - [[t1609-container-administration-command|T1609 - Container Administration Command]] - execução via API Docker - [[t1059-004-unix-shell|T1059.004 - Unix Shell]] - execução de shell scripts - [[t1105-ingress-tool-transfer|T1105 - Ingress Tool Transfer]] - download de payload e XMRig - [[t1553-003-cron|T1053.003 - Cron]] - persistência via cron job - [[t1021-004-ssh|T1021.004 - SSH]] - propagação lateral via SSH - [[t1552-004-private-keys|T1552.004 - Private Keys]] - roubo de chaves SSH - [[t1552-003-shell-history|T1552.003 - Shell History]] - roubo de credenciais do historico - [[t1018-remote-system-discovery|T1018 - Remote System Discovery]] - identificação de outros hosts - [[t1083-file-and-directory-discovery|T1083 - File and Directory Discovery]] - exploração do sistema - [[t1078-valid-accounts|T1078 - Valid Accounts]] - uso de credenciais roubadas - [[t1222-002-linux-and-mac-file-and-directory-permissions-modification|T1222.002 - File Permissions Modification]] - escalada de privilegios - [[t1110-brute-force|T1110 - Brute Force]] - brute force de credenciais SSH - [[t1071-001-web-protocols|T1071.001 - Web Protocols]] - C2 via HTTP ## Relevância LATAM/Brasil O [[s0599-kinsing|Kinsing]] tem relevância critica para o Brasil, onde a adocao de containers e ambientes cloud cresceu exponencialmente sem maturidade proporcional em segurança. Empresas brasileiras que utilizam Docker em cloud pública (AWS, Azure, GCP) sem configuracoes de segurança adequadas - especialmente com Docker API exposta na porta 2375 sem autenticação - sao alvos triviais para o Kinsing. As vulnerabilidades que o Kinsing explora (Log4Shell, ActiveMQ, Confluence) afetaram dezenas de milhares de sistemas brasileiros. Provedores de hospedagem, startups de tecnologia, fintechs e qualquer organização com infraestrutura Linux/Docker exposta a internet deve considerar o Kinsing como ameaça de alta probabilidade. Alem do impacto direto de cryptomining (uso excessivo de CPU, custo de cloud), infeccoes de Kinsing frequentemente criam backdoors que outros atores podem explorar. ## Detecção - Monitorar uso anormal de CPU em processos desconhecidos (>50%) em servidores Linux, especialmente em horarios fora do pico - Detectar conexoes de saida para pools de mineracao Monero conhecidos (XMRig pools, IPs na Russia) - Alertar para Docker API exposta na porta 2375/TCP sem TLS - varrer periodicamente a infraestrutura - Monitorar criação de cron jobs por usuarios nao-root ou por processos inesperados - Detectar download de binarios via `curl`/`wget` seguido de `chmod +x` e execução imediata - Implementar monitoramento de integridade de containers (image scanning, runtime security como Falco) ## Referências - [1](https://attack.mitre.org/software/S0599) MITRE ATT&CK - S0599 Kinsing (2024) - [2](https://www.aquasec.com/cloud-native-academy/supply-chain-security/kinsing-malware/) Aqua Security - Kinsing Malware Analysis (2023) - [3](https://unit42.paloaltonetworks.com/kinsing-cryptomining-bitcoin/) Unit 42 - Kinsing Cryptomining Campaign (2020) - [4](https://www.cisa.gov/known-exploited-vulnerabilities-catalog) CISA KEV - CVE-2023-46604 Apache ActiveMQ (2023)