Pesquisadores da Akamai investigaram uma botnet de mineração criptográfica usando seu malware KmsdBot. Os pesquisadores causaram acidentalmente a falha do botnet em um ambiente protegido. Como o malware foi programado incorretamente, um comando sem espaço foi suficiente para travar o botnet.
No início deste mês, a Akamai Security Research publicou uma postagem no blog sobre o KmsdBot, um botnet de criptomineração que infecta as vítimas via SSH e credenciais fracas. Depois que o malware infectou um honeypot da Akamai, o botnet foi imediatamente analisado e relatado em um post.
Falha do botnet devido à falta de espaço
Os especialistas da Akamai continuaram a monitorar a botnet e a tornaram inutilizável enviando alguns comandos. O elemento mais mortal de qualquer entidade maliciosa é a capacidade de obter comando e controle (C2). Como o KmsdBot tinha funcionalidade C2, os especialistas queriam testar diferentes cenários relacionados. Parte desse teste consistiu em modificar um exemplo recente de KmsdBot para se comunicar com um endereço IP no espaço de endereço RFC 1918.
Isso permitiu que os especialistas brincassem em um ambiente controlado - e, como resultado, eles puderam enviar seus próprios comandos ao bot na máquina de teste para testar sua funcionalidade e assinaturas de ataque. Curiosamente, após um único comando malformado, o bot parou de enviar comandos. Isso leva a investigações de acompanhamento. Não é todo dia que você se depara com uma rede de bots onde os agentes da ameaça travam seu próprio trabalho. Interessante: um bot com falha não funciona mais. O sistema deve primeiro ser reinfectado para torná-lo utilizável para o botnet novamente.
Má programação do malware
Os especialistas descobriram, conforme descrito em sua postagem no blog, que uma linha de comando mal codificada para o C2 travou a rede. O bot não tem nenhuma verificação de erro incorporada em seu código para verificar se os comandos estão formatados corretamente. Portanto, um comando com um espaço faltando foi o suficiente para causar o travamento. A descrição técnica completa pode ser encontrada na postagem do blog.
Este botnet visa algumas marcas de luxo e empresas de jogos muito grandes, mas não pode continuar com um comando falho.
Mais em Akamai.com
Sobre a Akamai
A Akamai capacita e protege a vida digital. Empresas líderes em todo o mundo confiam na Akamai para criar, entregar e proteger suas experiências digitais. Desta forma, apoiamos bilhões de pessoas todos os dias em suas vidas cotidianas, no trabalho e em seu tempo livre. Usando a plataforma de computação mais distribuída - da nuvem à borda - permitimos que nossos clientes desenvolvam e executem aplicativos.