I ricercatori di Akamai hanno indagato su una botnet di cripto-mining utilizzando il suo malware KmsdBot. I ricercatori hanno causato accidentalmente il crash della botnet in un ambiente protetto. Poiché il malware era programmato in modo errato, è bastato un comando mancante di uno spazio per mandare in crash la botnet.
All'inizio di questo mese, Akamai Security Research ha pubblicato un post sul blog su KmsdBot, una botnet di cryptomining che infetta le vittime tramite SSH e credenziali deboli. Dopo che il malware ha infettato un honeypot Akamai, la botnet è stata immediatamente analizzata e segnalata in un post.
Arresto della botnet a causa di spazio mancante
Gli esperti di Akamai hanno continuato a monitorare la botnet e l'hanno resa inutilizzabile inviando alcuni comandi. L'elemento più mortale di qualsiasi entità dannosa è la capacità di ottenere il comando e il controllo (C2). Poiché KmsdBot aveva la funzionalità C2, gli esperti volevano testare diversi scenari correlati. Parte di questo test consisteva nel modificare un recente esempio di KmsdBot per comunicare con un indirizzo IP nello spazio degli indirizzi RFC 1918.
Ciò ha consentito agli esperti di giocare in un ambiente controllato e, di conseguenza, sono stati in grado di inviare i propri comandi al bot sulla macchina di prova per testarne la funzionalità e le firme di attacco. È interessante notare che, dopo un singolo comando malformato, il bot ha smesso di inviare comandi. Ciò richiede indagini di follow-up. Non capita tutti i giorni di imbattersi in una botnet in cui gli attori delle minacce bloccano il proprio lavoro. Interessante: un bot bloccato non funziona più. Il sistema deve prima essere reinfettato per renderlo nuovamente utilizzabile per la botnet.
Cattiva programmazione del malware
Gli esperti hanno scoperto, come descritto nel loro post sul blog, che una riga di comando codificata in modo errato al C2 ha bloccato la rete. Il bot non ha alcun controllo degli errori integrato nel suo codice per verificare che i comandi siano formattati correttamente. Pertanto, è stato sufficiente un comando con uno spazio mancante per causare il crash. La descrizione tecnica completa è disponibile nel post del blog.
Questa botnet prende di mira alcuni marchi di lusso e società di gioco molto grandi, ma non può continuare con un comando fallito.
Altro su Akamai.com
A proposito di Akamai
Akamai potenzia e protegge la vita digitale. Le aziende leader in tutto il mondo si affidano ad Akamai per creare, fornire e proteggere le loro esperienze digitali. In questo modo supportiamo ogni giorno miliardi di persone nella vita di tutti i giorni, al lavoro e nel tempo libero. Utilizzando la piattaforma di elaborazione più distribuita, dal cloud all'edge, consentiamo ai nostri clienti di sviluppare ed eseguire applicazioni.