Как выяснилось, связь ботнета с операторами можно оборвать одной некорректной командой.
Инцидент произошел в ходе тестирования ботнета, построенного на вредоносе KmsdBot. Изучая возможности ботнета, исследователи Akamai случайно послали ботам команду с синтаксической ошибкой, что привело к отключению ботнета.
Про ботнет сообщили специалисты Akamai Security Research в середине прошлого месяца. В его основе лежит KmsdBot – написанный на языке Go вредонос, который использует SSH для проникновения в системы жертв. Закрепившись в системе жертвы, вредоносная программа подключает пользователя к ботнету и использует его устройство для майнинга криптовалюты Monero и проведения DDoS-атак. Среди основных целей KmsdBot были игровые компании, ИБ-фирмы и даже производители люксовых автомобилей.
Но почему ботнет удалось отключить одной командой? Как говорят исследователи Akamai, причины всего две:
Отсутствие механизма, позволяющего закрепиться в зараженной системе. Это означает то, что систему жертвы придется заражать сначала, если он был удален или по какой-то причине потерял связь с C&C-сервером.
Отсутствие механизма, проверяющего команды на наличие ошибок. В случае с Akamai, сбой работы всего ботнета был вызван выполнением атакующей команды в которой была синтаксическая ошибка – пропущен пробел между адресом целевого сайта и портом.
Скриншот с выполнением неправильной команды.
Как мы говорили выше, у ботнета не было механизма, позволяющего закрепиться в системе жертвы. А раз все боты потеряли связь с C&C-сервером, операторам придется заново заражать жертв и налаживать ботнет.
Сбалансированная диета для серого вещества