Новости Мы тебя обнаружили, мы тебя и убьем: исследователи Akamai случайно отключили ботнет KmsdBot

NewsMaker

I'm just a script
Премиум
8,671
16
8 Ноя 2022

Как выяснилось, связь ботнета с операторами можно оборвать одной некорректной командой.​


3zyaonzp51zjeu0tw1dp1lgw0n6z5xee.jpg


Инцидент произошел в ходе тестирования Для просмотра ссылки Войди или Зарегистрируйся , построенного на вредоносе KmsdBot. Изучая возможности ботнета, исследователи Akamai случайно послали ботам команду с синтаксической ошибкой, что привело к отключению ботнета.

Про ботнет сообщили специалисты Akamai Security Research в середине прошлого месяца. В его основе лежит KmsdBot – написанный на языке Go вредонос, который использует SSH для проникновения в системы жертв. Закрепившись в системе жертвы, вредоносная программа подключает пользователя к ботнету и использует его устройство для майнинга криптовалюты Monero и проведения DDoS-атак. Среди основных целей KmsdBot были игровые компании, ИБ-фирмы и даже производители люксовых автомобилей.

Но почему ботнет удалось отключить одной командой? Как Для просмотра ссылки Войди или Зарегистрируйся исследователи Akamai, причины всего две:

  • Отсутствие механизма, позволяющего закрепиться в зараженной системе. Это означает то, что систему жертвы придется заражать сначала, если он был удален или по какой-то причине потерял связь с C&C-сервером.
  • Отсутствие механизма, проверяющего команды на наличие ошибок. В случае с Akamai, сбой работы всего ботнета был вызван выполнением атакующей команды в которой была синтаксическая ошибка – пропущен пробел между адресом целевого сайта и портом.


content-img(866).png


Скриншот с выполнением неправильной команды.

Как мы говорили выше, у ботнета не было механизма, позволяющего закрепиться в системе жертвы. А раз все боты потеряли связь с C&C-сервером, операторам придется заново заражать жертв и налаживать ботнет.
 
Источник новости
https://www.securitylab.ru/news/535095.php

Похожие темы