Los investigadores de Akamai han investigado una botnet de criptominería utilizando su malware KmsdBot. Los investigadores provocaron accidentalmente que la red de bots colapsara en un entorno protegido. Dado que el malware se programó incorrectamente, un comando al que le faltaba un espacio fue suficiente para bloquear la red de bots.
A principios de este mes, Akamai Security Research publicó una publicación de blog sobre KmsdBot, una botnet de criptominería que infecta a las víctimas a través de SSH y credenciales débiles. Después de que el malware infectara un honeypot de Akamai, la botnet se analizó de inmediato y se informó en una publicación.
Bloqueo de la botnet debido a la falta de espacio
Los expertos de Akamai continuaron monitoreando la botnet y la inutilizaron mediante el envío de algunos comandos. El elemento más mortífero de cualquier entidad maliciosa es la capacidad de obtener mando y control (C2). Dado que KmsdBot tenía la funcionalidad C2, los expertos querían probar diferentes escenarios relacionados. Parte de esta prueba consistió en modificar un ejemplo reciente de KmsdBot para comunicarse con una dirección IP en el espacio de direcciones RFC 1918.
Esto permitió a los expertos jugar en un entorno controlado y, como resultado, pudieron enviar sus propios comandos al bot en la máquina de prueba para probar su funcionalidad y firmas de ataque. Curiosamente, después de un solo comando mal formado, el bot dejó de enviar comandos. Eso provoca investigaciones de seguimiento. No todos los días te encuentras con una red de bots en la que los actores de amenazas bloquean su propio trabajo. Interesante: un bot bloqueado ya no funciona. Primero se debe volver a infectar el sistema para que la botnet pueda volver a utilizarlo.
Mala programación del malware.
Los expertos descubrieron, como se describe en su publicación de blog, que una línea de comando codificada incorrectamente para el C2 colapsó la red. El bot no tiene ninguna verificación de errores integrada en su código para verificar que los comandos tengan el formato correcto. Por lo tanto, un comando al que le faltaba un espacio fue suficiente para provocar el bloqueo. La descripción técnica completa se puede encontrar en la publicación del blog.
Esta botnet se dirige a algunas marcas de lujo y compañías de juegos muy grandes, pero no puede continuar con un comando fallido.
Más en Akamai.com
Acerca de Akamai
Akamai empodera y protege la vida digital. Las empresas líderes de todo el mundo confían en Akamai para crear, ofrecer y proteger sus experiencias digitales. De esta manera, apoyamos a miles de millones de personas todos los días en su vida cotidiana, en el trabajo y en su tiempo libre. Utilizando la plataforma informática más distribuida, desde la nube hasta el perímetro, permitimos que nuestros clientes desarrollen y ejecuten aplicaciones.