Akamai の研究者は、KmsdBot マルウェアを使用した暗号通貨マイニング ボットネットを調査しました。 研究者は、保護された環境でボットネットを誤ってクラッシュさせました。 マルウェアは正しくプログラムされていなかったため、コマンドにスペースが XNUMX つ欠けているだけでボットネットがクラッシュしました。
今月初め、Akamai Security Research は KmsdBot に関するブログ記事を公開しました。KmsdBot は、SSH と脆弱な認証情報を介して被害者に感染するクリプトマイニング ボットネットです。 マルウェアがアカマイのハニーポットに感染した後、ボットネットはすぐに分析され、投稿で報告されました。
スペース不足によるボットネットのクラッシュ
Akamai のエキスパートは引き続きボットネットを監視し、いくつかのコマンドを送信して使用不能にしました。 悪意のあるエンティティの最も致命的な要素は、コマンド アンド コントロール (C2) を取得する能力です。 KmsdBot には C2 機能があったため、専門家は関連するさまざまなシナリオをテストしたいと考えていました。 このテストの一部は、KmsdBot の最近の例を変更して、RFC 1918 アドレス空間の IP アドレスと通信することで構成されていました。
これにより、専門家は制御された環境で遊ぶことができ、その結果、テスト マシン上のボットに独自のコマンドを送信して、その機能と攻撃シグネチャをテストすることができました。 興味深いことに、不正なコマンドを XNUMX 回送信した後、ボットはコマンドの送信を停止しました。 これにより、追跡調査が促されます。 攻撃者が自身の作業をクラッシュさせるボットネットに遭遇することはめったにありません。 興味深い: クラッシュしたボットは機能しなくなります。 ボットネットで再び使用できるようにするには、まずシステムを再感染させる必要があります。
マルウェアのプログラミングが不十分
専門家は、ブログ投稿で説明されているように、C2 へのコマンド ラインのコードが正しくないためにネットワークがクラッシュしたことを発見しました。 ボットには、コマンドが正しくフォーマットされていることを確認するためのエラー チェックがコードに組み込まれていません。 したがって、スペースが不足しているコマンドは、クラッシュを引き起こすのに十分でした。 完全な技術的な説明は、ブログ投稿で見つけることができます。
このボットネットは、いくつかの非常に大きな高級ブランドやゲーム会社を標的にしていますが、コマンドが XNUMX つ失敗しただけでは続行できません。
詳細は Akamai.com をご覧ください
アカマイについて
Akamai はデジタル ライフを強化し、保護します。 世界中の大手企業が Akamai を信頼して、デジタル体験の構築、提供、保護を行っています。 このようにして、私たちは何十億もの人々の毎日の生活、仕事、自由な時間をサポートしています。 クラウドからエッジまで、最も分散されたコンピューティング プラットフォームを使用して、お客様がアプリケーションを開発および実行できるようにします。