Monero per Svogliati

📚 La storia in 30 secondi

Nel 2014 nasce Bytecoin, prima implementazione del protocollo CryptoNote. Si scopre che l'80% delle monete erano già state minate prima del lancio pubblico (cosa molto poco simpatica). Una community sdegnata fa fork e crea BitMonero, poi rinominato Monero ("moneta" in esperanto). Da allora è il riferimento per privacy crypto: nessuna premine, hard fork periodici per restare ASIC-resistant, sviluppo aperto e finanziato dalla community.

⚙️ Specifiche di base

🧠 RandomX — il motivo per cui esiste cryptojacking

RandomX è un algoritmo di proof-of-work progettato per essere efficiente su CPU general-purpose e inefficiente su hardware specializzato. Funziona generando programmi pseudocasuali (in un linguaggio interno) che il miner deve eseguire usando tutto quello che una CPU x86/ARM offre: registri, branch prediction, cache, virtual memory. Un ASIC non può fare questo se non implementando di fatto una CPU general-purpose, perdendo il vantaggio di costo.

Risultato: il tuo PC desktop o un server cloud minano XMR in modo sensato. Una farm GPU minerebbe meglio Ethereum (quando esisteva), una farm ASIC minerebbe Bitcoin, ma per Monero la CPU del tuo VPS hackerato è competitiva. Da qui il problema: ogni macchina compromessa è un piccolo miner utile.

🔑 Le tre chiavi di un wallet Monero

• Spend key (privata): firma le transazioni in uscita. Se la perdi, perdi i fondi. Se te la rubano, perdi i fondi.
• View key (privata, ma condivisibile): permette di vedere le transazioni in entrata, senza poter spendere. Utile per audit, per la contabilità aziendale, per dimostrare un pagamento. È la cosa più vicina a un "estratto conto" in Monero.
• Public address: derivato dalle due chiavi. Lo dai a chi ti deve pagare. Sulla blockchain non appare direttamente: appaiono solo gli stealth address generati per ogni transazione.

🚨 Cosa si paga in XMR oggi (purtroppo)

• Riscatti ransomware: la maggior parte dei gang famosi accetta o preferisce XMR (alcuni offrono sconto se paghi in Monero invece che in Bitcoin).
• Cryptojacking payout: i miner illegali su server compromessi vanno tutti su pool Monero.
• Mercati illegali: dopo il declino dei marketplace su Bitcoin, XMR è diventato lo standard de-facto.
• Servizi privacy legittimi: VPN che non vogliono associare un pagamento al cliente, servizi journalism, donazioni a progetti dissidenti.
• Curiosità tecnica: esiste anche chi lo usa per pagamenti normali, perché pensa che la privacy finanziaria sia un diritto. Ma è minoranza rumorosa.

⚙️ XMRig — il miner di riferimento

XMRig è un miner Monero open source, performante, multi-piattaforma. Esistono fork, build statiche, build embedded per ARM, varianti minifuscate per evitare detection. Lo strumento è legittimo (lo usano anche miner onesti sul proprio hardware), ma è il binario più trovato sui server compromessi del pianeta.

Gli operatori malevoli lo droppano sotto nomi camuffati: kdevtmpfsi, kinsing, kthreaddi, sshd, java, [kworker/...]. Il nome "kdevtmpfsi" in particolare è così comune da essere diventato un IOC standard nelle alert SIEM.

🌍 L'evoluzione dei vettori (alta vista)

🔌 Vettori esterni (la rete)

• Servizi esposti senza autenticazione: Docker socket su TCP, kubelet, Redis, MongoDB, Elasticsearch, Hadoop YARN, JBoss, Jenkins, Kibana, Confluence Data Center senza fix CVE recenti. Il tema ricorrente: pannelli di gestione esposti pubblicamente.
• SSH con credenziali deboli: brute-force su root o utenti default (ubuntu, admin, oracle). Liste pubbliche di password da Mirai e simili sono ancora lo standard.
• RCE recenti non patchate: Log4Shell, Spring4Shell, Confluence OGNL, vBulletin, vari WordPress plugin, GitLab template injection. Le campagne di mass scanning partono entro ore dalla disclosure.
• API pubbliche scoperte: /.git/ esposti, .env publicly readable, dashboard Grafana/Prometheus aperte.

📦 Supply chain (il pacchetto fidato)

• Pacchetti npm/PyPI/RubyGems con miner: tiposquatting (colors-js vs colorss-js), repository hijack, account compromessi degli autori.
• Immagini Docker pubbliche tampered: build "nginx-unofficial" con XMRig dentro, mirror di immagini ufficiali con modifiche.
• Action GitHub di terzi con codice malevolo richiamato in workflow CI.
• Plugin WordPress/Magento/Joomla da repository non ufficiali.

🏫 Cloud e CI/CD (i compute gratis)

• GitHub Actions, GitLab CI, CircleCI free tier abusati: account fake (spesso compromessi) che lanciano miner nei runner. I provider hanno implementato detection negli anni, ma il gioco continua.
• Credenziali cloud leakate: chiavi AWS/GCP committate in repository pubblici. I bot che le harvestano spawn-ano istanze GPU/CPU per minare in pochi minuti.
• Lambda/Cloud Functions: meno comune, ma esistono campagne che abusano di runtime serverless con timeout lunghi.
• Container con privilegi eccessivi: --privileged, mount di /var/run/docker.sock dentro il container, Kubernetes con hostPID/hostNetwork non necessari.

🔗 Lateral movement (il salto al vicino)

• SSH key collection: una volta compromessa una macchina, gli operatori cercano ~/.ssh/known_hosts, ~/.ssh/config e chiavi private senza passphrase per saltare alle macchine vicine.
• Cloud metadata service abuse: leggere il metadata IMDSv1 (se non disabilitato) per ottenere credenziali instance role.
• Container escape: bug noti del runtime (runc CVE-2019-5736 era il classico) per uscire dal container e atterrare sull'host.

🔥 Sintomi macroscopici

• Load 1m / 5m / 15m sempre alto anche in assenza di traffico applicativo. Soprattutto se il pattern è piatto (mining = lavoro costante, non a picchi).
• Bolletta cloud impazzita: vCPU ore, network out (verso pool stratum), egress traffic più alto del solito.
• Throttling del provider cloud: AWS/GCP/Hetzner spesso rilevano cryptojacking e sospendono o limitano l'istanza. Riceverai una mail.
• Calo di performance dell'app legittima: l'utente reclama, e tu apri htop.
• Ventole sempre al massimo su hardware fisico.

🔍 Cosa cercare nei processi

I nomi più comuni mascherati come kernel-thread:

# Top hit storici (non esaustivo, le campagne cambiano)
kdevtmpfsi
kinsing
kthreaddi
[kworker/0:1]      # attenzione: i veri kworker hanno spazio nel nome
xmrig
xmr-stak
sysupdate
network-watchdog
.X11-unix
.configure           # nascosti con leading dot in /tmp

Comandi di diagnosi rapida:

# Top processi per CPU sostenuta
ps -eo pid,user,%cpu,%mem,etime,cmd --sort=-%cpu | head -20

# Verifica se i "kernel thread" sono davvero kernel (PPID 2 = kthreadd)
ps -eo pid,ppid,cmd | grep -E 'k(devtmpfsi|insing|worker)'

# Connessioni di rete sospette: stratum pool tipicamente porte 3333/4444/5555/7777/14444
ss -tnp | grep -E ':3333|:4444|:5555|:7777|:14444'
ss -tnp state established | grep -v ':22 |:80 |:443 '

# File aperti dal processo sospetto
lsof -p <PID>
ls -la /proc/<PID>/cwd /proc/<PID>/exe

📋 Persistenza — dove si nasconde

Anche se uccidi il processo, riparte. Cerca i meccanismi di persistenza:

# Cron di tutti gli utenti
for u in $(cut -f1 -d: /etc/passwd); do
    echo "=== $u ==="
    crontab -u "$u" -l 2>/dev/null
done
ls -la /etc/cron.* /var/spool/cron/

# systemd unit aggiunte di recente
find /etc/systemd /lib/systemd /usr/lib/systemd -name '*.service' -newer /etc/hostname

# File modificati nelle ultime 7 giorni in directory sensibili
find /etc /usr/local/bin /usr/bin /tmp /var/tmp /dev/shm -type f -mtime -7 2>/dev/null

# Chiavi SSH aggiunte (la persistenza più classica)
find / -name 'authorized_keys' -exec ls -la {} \; 2>/dev/null

# LD_PRELOAD — rootkit user-space
cat /etc/ld.so.preload 2>/dev/null
env | grep LD_

# Profile/bashrc modificati
ls -la /etc/profile.d/
grep -r 'curl\|wget\|base64' /etc/profile.d/ /root/.bashrc /home/*/.bashrc 2>/dev/null

📡 Indicatori di rete

• Connessioni a IP non documentati verso porte 3333/4444/5555/7777/14444 (stratum classiche).
• DNS query verso pool noti: *.minexmr.com (già chiuso ma usato in storia), *.supportxmr.com, *.nanopool.org, pool.minexmr.com, xmr.f2pool.com, moneroocean.stream.
• Traffico verso wallet/proxy server custom: spesso gli operatori non si collegano direttamente a un pool pubblico ma a un loro proxy che inoltra. Il dominio è quindi "qualunque", ma il protocollo stratum+tcp è riconoscibile dal pattern.
• Picco di traffico TCP outbound dopo un orario specifico (quando l'attaccante avvia la campagna).

🏠 Riduci la superficie d'attacco

• Niente servizi di gestione su Internet pubblico. Mai. Docker socket, Kubernetes API, Redis, MongoDB, Elasticsearch, Jenkins, Grafana admin: tutto su VPN o bastion. Se serve esposto, almeno con auth forte e mTLS.
• SSH: solo chiavi, mai password. PasswordAuthentication no, PermitRootLogin no. Considera fail2ban o sshd con port knocking se proprio devi tenerlo esposto.
• Patcha entro 48 ore ogni CVE critico su software esposto. I bot scansionano in tempo reale.
• Disabilita IMDSv1 su AWS, usa solo IMDSv2. Su GCP/Azure equivalenti.
• Network segmentation: il database backend non deve poter parlare con Internet in uscita. Niente egress se non strettamente necessario. Consulta la guida VLAN e Networking.

🔐 Container e Kubernetes hardening

• Mai --privileged se non necessario. Mai mount di /var/run/docker.sock dentro container.
• runAsNonRoot sempre, readOnlyRootFilesystem: true dove possibile.
• NetworkPolicy per limitare il traffico pod-to-pod e l'egress verso Internet.
• Pod Security Admission (o Gatekeeper/Kyverno) per rifiutare manifest insicuri.
• Image signing & admission control: solo immagini firmate (cosign + policy).
• Image registry interno mirror di Docker Hub: previene tampering e tira giù le immagini una sola volta.

🛡️ MAC, capabilities e sandbox

• AppArmor o SELinux attivo: profili per servizi esposti che non hanno bisogno di syscall esotiche. Vedi guida AppArmor.
• seccomp profile: blocca syscall non necessari. Default Docker copre molto, custom è meglio.
• Capabilities ridotte: CapBnd, drop di tutto e add solo quello che serve.
• Read-only filesystem dove non serve scrivere. Tipicamente i container web no, ma molti microservizi sì.

📊 Detection e alerting

• Alert su CPU sostenuta >80% per >30 minuti su servizi che non dovrebbero. Banale e potentissimo.
• Egress firewall con allowlist: il tuo backend non chiama 51.15.x.x:3333. Se lo fa, bloccalo (e indaga).
• DNS sinkhole / RPZ con feed che includono pool mining. Vedi DNS Sicuro.
• EDR open-source: auditd, Falco, osquery, Wazuh. Falco in particolare ha regole built-in per rilevare cryptojacking pattern (esecuzione di binari da /tmp, scrittura su /etc/passwd, etc.).
• Cloud security tools: AWS GuardDuty, GCP Security Command Center, Azure Defender. Hanno detection specifiche per CryptoCurrency:EC2/BitcoinTool.
• Billing alert: una soglia di spesa giornaliera/mensile salva milioni di euro al mondo cloud ogni anno.

🔬 Step 1 — Triage senza distruggere prove

• Snapshot della VM (cloud) o memory dump (con LiME o avml). Salva l'immagine per analisi forense successiva.
• Salva log critici: /var/log/auth.log, /var/log/syslog, journalctl --since "30 days ago" esportato.
• Foto dello stato: ps auxf, ss -tnp, lsof, netstat -an, last, w, find / -mtime -30 -type f > /tmp/recent.txt (su filesystem read-only o esterno se possibile).
• Hash dei binari sospetti con sha256sum e cerca su VirusTotal (senza uploadare il file: solo hash, per non avvisare l'attaccante via "query" ai suoi domini di canary se ne ha).

🚰 Step 2 — Isolamento

• Stacca dalla rete (security group/firewall) ma non spegnere la macchina: la RAM contiene info utili.
• Revoca credenziali che possono essere state esfiltrate: SSH key dell'utente, token cloud, secret di app, password dei DB.
• Audit su altre macchine della stessa rete o cluster: il lateral movement è reale.

🔥 Step 3 — Reinstalla, non "ripulire"

La regola d'oro post-incidente:

• Considera la macchina compromessa irrecuperabile. Non ti puoi fidare di binaries, kernel modules, init scripts.
• Wipe e reinstall da zero, idealmente con un'immagine immutabile e infrastructure-as-code (Terraform + Ansible/cloud-init).
• Ripristina i dati da un backup pre-infezione, controllato. Non dal filesystem della VM compromessa.
• Cambia tutte le credenziali che la macchina conosceva, anche se "sembra che non siano state usate".

🧋 Su Monero

• Privacy by default: ring signatures + stealth address + RingCT. Non opzionale.
• RandomX: PoW CPU-friendly. Per questo è la moneta del cryptojacking.
• Tre chiavi: spend (firma), view (vede in entrata), public address.
• Hard fork ogni ~6 mesi: rompe ASIC, cambia regole.
• Tail emission: 0.6 XMR/blocco per sempre, niente cap stretto.

🛡️ Sul cryptojacking (lato difensivo)

• Sintomo principale: CPU 100% costante, load piatto, bolletta cloud impennata.
• Nomi binari tipici: kdevtmpfsi, kinsing, xmrig, fake [kworker].
• Connessioni di rete: porte 3333/4444/5555/7777/14444 verso pool stratum.
• Persistenza tipica: cron, systemd unit, .bashrc, authorized_keys, ld.so.preload.
• Vettore #1 nel cloud: servizio di gestione esposto pubblicamente o credenziale leakata.
• Prevenzione > cura: niente admin panel su Internet, SSH solo a chiave, patch <48h, egress allowlist.
• Se infetto: snapshot → isola → reinstalla. Non "ripulisci".
• Cryptojacking visibile = compromissione totale. Cambia tutte le credenziali.