Schadsoftware-Autoren nehmen versehentlich ihr eigenes Botnet ab
[ad_1]
Es kommt nicht oft vor, dass Schadsoftware-Autoren sich die Plackerei zeugen, ein bösartiges Tool zum Oberbau eines Botnetzes zu prosperieren, nur um dann kombinieren Weg zu finden, es selbst effektiv zu sabotieren.
Trotzdem genau dies scheint c/o „KmsdBot“ jener Kernpunkt zu sein, einem verteilten Denial-of-Tafelgeschirr (DDoS)- und Krypto-Mining-Botnet, dies Forscher von Akamai im vergangenen Monat entdeckten und Systeme in mehreren Branchen infizierten. Jetzt ist es wegen eines einzigen falsch formatierten Befehls von Seiten seines Autors weitgehend still geworden.
Eine vielseitige Gefahr
Die in jener Programmiersprache Go geschriebene Schadsoftware infiziert Systeme darüber hinaus eine SSH-Verkettung mit schwachen Anmeldeinformationen und verwendet UDP-, TCP- und Hypertext Transfer Protocol-POST- und GET-Befehle c/o DDoS-Angriffen. Kaspersky fand hervor, dass die Schadsoftware darauf ausgelegt ist, hinaus mehrere Architekturen wie Windows-, Arm64- und mips64-Systeme abzuzielen. Von jener Schadsoftware betroffen sind unter anderem Hersteller von Luxusautos, Spielefirmen und IT-Firmen.
Für allen von Akamai beobachteten Angriffen verwendeten die Bedrohungsakteure KmsdBot, um DDoS-Angriffe auszuführen, obwohl die Schadsoftware sekundär Kryptomining-Funktionen enthält.
Nachher jener ersten Offenlegung von Akamai im November überwachten und analysierten Forscher des Unternehmens die Gefahr weiter. Qua Teil jener Tutorium modifizierten sie ein aktuelles Sichtweise von KmsdBot und beschlossen, verschiedene Szenarien im Zusammenhang mit jener Befehls- und Kontrollfunktion (C2) jener Schadsoftware zu testen.
Die Forscher von Akamai fanden die Stelle im Source jener Schadsoftware, die die IP-Postanschrift und den Port für jedes den C2-Server von KmsdBot enthielt, und änderten sie, sodass die Postanschrift hinaus den IP-Cluster von Akamai verwies. Dies Ziel war eine kontrollierte Umgebung, von jener aus die Forscher ihre eigenen Befehle an dies Bot-Sample senden konnten, um zu sehen, wie es funktionierte.
Ein tödlicher Oopsie
Während des Tests entdeckten die Akamai-Forscher, dass jener Bot plötzlich aufhörte zu funktionieren, nachdem er kombinieren Gebot erhalten hatte, eine Warteschlange von Junk-Datenmaterial an bitcoin.com zu senden, in einem offensichtlichen Versuch, DDoS hinaus jener Website zu zeugen.
Für genauerer Betrachtung zeigte sich, dass jener Gebot missgebildet war. „Die Volk, die dies Botnet betreiben, nach sich ziehen es versehentlich zum Bluescreen gebracht“, sagt Larry Cashdollar, Principal Security Intelligence Response Engineer c/o Akamai, im Gegensatz zu Dark Reading. “Sie nach sich ziehen kombinieren Gebot gesendet, c/o dem ein Leerzeichen zwischen jener Ziel-URL und jener Portnummer fehlte.”
Dieser Bot enthält keine Fehlerprüffunktion, um zu kontrollieren, ob die empfangenen Befehle richtig formatiert sind, sagt Cashdollar. Infolgedessen stürzt die Go-Binärdatei mit jener Fehlermeldung “Verbotsliste äußerlich des Bereichs” ab.
Er sagt sekundär, dass Akamai dies Problem replizieren konnte, während es dem modifizierten Bot kombinieren eigenen, falsch formatierten Gebot schickte.
„Dieser fehlerhafte Gebot hat wahrscheinlich den gesamten Botnet-Source zum Bluescreen gebracht, jener hinaus infizierten Computern lief und mit dem C2 kommunizierte – im Wesentlichen, während er dies Botnet tötete“, bemerkte Akamai jene Woche in seinem Update zu jener Schadsoftware.
Wichtig ist, dass jener Bot keinen Persistenzmechanismus unterstützt. Die einzige Möglichkeit für jedes die Schadsoftware-Autoren, dies KmsdBot-Botnetz neu aufzubauen, besteht daher darin, die Systeme von Grund hinaus neu zu infizieren.
Cashdollar sagt, dass so gut wie allesamt KmsdBot-bezogenen Aktivitäten, die Akamai in den letzten Wochen verfolgt hat, eingestellt wurden. Trotzdem es gibt Beleg zu diesem Zweck, dass die Bedrohungsakteure begonnen nach sich ziehen, erneut zu versuchen, Systeme zu infizieren, stellt er wacker.