Эксперты Akamai случайно отключили DDoS-ботнет

Discussion in 'Мировые новости. Обсуждения.' started by Suicide, 1 Dec 2022.

  1. Suicide

    Suicide Super Moderator
    Staff Member

    Joined:
    24 Apr 2009
    Messages:
    2,482
    Likes Received:
    7,062
    Reputations:
    693
    Исследователи из ИБ-компании Akamai изучали ботнет, построенный на основе малвари KmsdBot, который использовался для майнинга криптовалюты и DDoS-атак. Во время тестов эксперты случайно передали ботам команду с синтаксической ошибкой, что фактически отключило ботнет, и теперь хакерам придется восстанавливать его с нуля.

    Об этом ботнете исследователи уже писали ранее в этом месяце. Напомню, что KmsdBot представляет собой малварь, написанную на Go, которая использует SSH для проникновения в системы жертв и занимается майнингом криптовалюты, а также проведением DDoS-атак. Отмечалось, что атаки KmsdBot затрагивают самые разные компании, от игровых, до производителей люксовых автомобилей и ИБ-фирм.


    Как теперь рассказывают эксперты, к сожалению для разработчиков KmsdBot и к счастью для владельцев взломанных устройств, малварь пока не умеет «сохраняться» в зараженной системе, таким образом избегая обнаружения. Фактически это означает, что вредоносу придется начинать все сначала, если он был обнаружен и удален, или по какой-то причине потерял связь с управляющим сервером.

    Именно этот аспект и привел к случайному отключению всего ботнета. Эксперт Akamai Ларри Кэшдоллар пишет, что с тех пор как KmsdBot заразил одну из приманок компании, он и коллеги активно занимались его изучением.

    «В нашей контролируемой среде мы имели возможность отправлять боту команды для проверки его функциональности и сигнатур атак, — рассказывает Кэшдоллар. — В рамках этого анализа была допущена синтаксическая ошибка, которая заставила бота прекратить передачу команд, и это фактически убило ботнет».​

    Злую шутку с KmsdBot сыграло отсутствие error-checking’а, или, как говорит Кэшдоллар «эквивалента поиска опечаток в коде». Сбой в работе вредоноса был случайно спровоцирован выполнением команды атаки, в которой был пропущен пробел между адресом целевого сайта и портом.

    [​IMG]

    «Эта неправильно сформированная команда, вероятно, привела к сбою всего ботнета, который работал на зараженных машинах и общался с управляющими серверами. По сути, это убило весь ботнет. Поскольку у бота нет никаких функций для сохранения присутствия на зараженных машинах, единственный способ восстановления — это повторно заражать системы и восстанавливать ботнет с нуля», — заключает эксперт.​

     
    _________________________
Loading...