Les chercheurs d'Akamai ont enquêté sur un botnet de crypto-minage à l'aide de son malware KmsdBot. Les chercheurs ont accidentellement fait planter le botnet dans un environnement protégé. Étant donné que le logiciel malveillant n'était pas programmé correctement, une commande sans espace suffisait à faire planter le botnet.
Plus tôt ce mois-ci, Akamai Security Research a publié un article de blog sur KmsdBot, un botnet de cryptominage qui infecte les victimes via SSH et des informations d'identification faibles. Après que le logiciel malveillant ait infecté un pot de miel d'Akamai, le botnet a été immédiatement analysé et signalé dans un article.
Crash du botnet en raison d'un manque d'espace
Les experts d'Akamai ont continué à surveiller le botnet et l'ont rendu inutilisable en envoyant quelques commandes. L'élément le plus meurtrier de toute entité malveillante est la capacité d'obtenir le commandement et le contrôle (C2). Puisque KmsdBot avait la fonctionnalité C2, les experts ont voulu tester différents scénarios connexes. Une partie de ces tests consistait à modifier un exemple récent de KmsdBot pour communiquer avec une adresse IP dans l'espace d'adressage RFC 1918.
Cela a permis aux experts de jouer dans un environnement contrôlé - et par conséquent, ils ont pu envoyer leurs propres commandes au bot sur la machine de test pour tester ses fonctionnalités et ses signatures d'attaque. Fait intéressant, après une seule commande mal formée, le bot a cessé d'envoyer des commandes. Cela incite à des enquêtes de suivi. Ce n'est pas tous les jours que vous rencontrez un botnet où les acteurs de la menace bloquent leur propre travail. Intéressant : un bot planté ne fonctionne plus. Le système doit d'abord être réinfecté afin de le rendre à nouveau utilisable pour le botnet.
Mauvaise programmation du malware
Les experts ont découvert, comme décrit dans leur article de blog, qu'une ligne de commande mal codée vers le C2 a fait planter le réseau. Le bot n'a aucune vérification d'erreur intégrée dans son code pour vérifier que les commandes sont correctement formatées. Par conséquent, une commande avec un espace manquant était suffisante pour provoquer le crash. La description technique complète se trouve dans le billet de blog.
Ce botnet cible certaines très grandes marques de luxe et sociétés de jeux, mais il ne peut pas continuer avec une seule commande ratée.
Plus sur Akamai.com
À propos d'Akamai
Akamai renforce et protège la vie numérique. De grandes entreprises du monde entier font confiance à Akamai pour créer, diffuser et protéger leurs expériences numériques. Ainsi, nous accompagnons chaque jour des milliards de personnes dans leur vie quotidienne, au travail et dans leur temps libre. En utilisant la plate-forme informatique la plus distribuée - du cloud à la périphérie - nous permettons à nos clients de développer et d'exécuter des applications.