Дослідники Akamai дослідили ботнет для майнінгу криптовалют, використовуючи шкідливе програмне забезпечення KmsdBot. Дослідники випадково призвели до збою ботнету в захищеному середовищі. Оскільки зловмисне програмне забезпечення було запрограмоване неправильно, команди без пробілу було достатньо для збою ботнету.
Раніше цього місяця Akamai Security Research опублікувала допис у блозі про KmsdBot, ботнет для криптомайнінгу, який заражає жертв через SSH і слабкі облікові дані. Після того, як зловмисне програмне забезпечення заразило honeypot Akamai, ботнет було негайно проаналізовано та повідомлено про нього в публікації.
Збій ботнету через брак місця
Фахівці Akamai продовжили моніторинг ботнету та зробили його непридатним, надіславши кілька команд. Найнебезпечнішим елементом будь-якої зловмисної сутності є здатність отримати командування та контроль (C2). Оскільки KmsdBot мав функціональність C2, експерти хотіли перевірити різні пов’язані сценарії. Частина цього тестування полягала в модифікації нещодавнього прикладу KmsdBot для зв’язку з IP-адресою в адресному просторі RFC 1918.
Це дозволило експертам пограти в контрольованому середовищі – і в результаті вони змогли надіслати власні команди боту на тестовій машині, щоб перевірити його функціональність і сигнатури атаки. Цікаво, що після однієї неправильної команди бот перестав надсилати команди. Це спонукає до подальших розслідувань. Не щодня ви стикаєтеся з ботнетами, де загрозливі суб’єкти ламають свою роботу. Цікаво: Збійний бот більше не працює. Щоб знову зробити її придатною для ботнету, систему потрібно спочатку повторно інфікувати.
Погане програмування шкідливого ПЗ
Як описано в дописі в блозі, експерти з’ясували, що неправильно закодований командний рядок C2 призвело до збою в роботі мережі. У коді бота немає вбудованої перевірки помилок, щоб перевірити, чи правильно відформатовано команди. Таким чином, команди з відсутнім пробілом було достатньо, щоб викликати збій. Повний технічний опис можна знайти в публікації в блозі.
Цей ботнет націлений на деякі дуже великі люксові бренди та ігрові компанії, але він не може продовжити роботу за допомогою однієї невдалої команди.
Більше на Akamai.com
Про Акамай
Akamai розширює можливості та захищає цифрове життя. Провідні компанії в усьому світі довіряють Akamai створювати, надавати та захищати їхній цифровий досвід. Таким чином ми щодня підтримуємо мільярди людей у повсякденному житті, на роботі та у вільний час. Використовуючи найбільш розподілену обчислювальну платформу – від хмари до краю – ми даємо нашим клієнтам змогу розробляти та запускати програми.