Ερευνητές «έριξαν» κατά λάθος το KmsdBot DDoS botnet: Κατά την ανάλυση των δυνατοτήτων του, οι ερευνητές της Akamai “έριξαν” κατά λάθος ένα cryptomining botnet που χρησιμοποιήθηκε και για κατανεμημένες επιθέσεις distributed denial-of-service (DDoS).
Δείτε επίσης: Διαδικτυακό κύκλωμα έβγαλε 12 εκατ. ευρώ μέσω επενδυτικών απατών
Η ομάδα SIRT (Security Intelligence Response Team) της Akamai ανακάλυψε το κακόβουλο λογισμικό KmsdBot πίσω από αυτό το botnet αφού μόλυνε ένα από τα honeypots της, όπως φαίνεται σε προηγούμενη έκθεση αυτού του μήνα.
Το KmsdBot στοχεύει συσκευές Windows και Linux με ένα ευρύ φάσμα αρχιτεκτονικών και μολύνει νέα συστήματα μέσω συνδέσεων SSH που χρησιμοποιούν αδύναμα ή προεπιλεγμένα διαπιστευτήρια σύνδεσης.
Ghost: Εξάρθρωση της πλατφόρμας κρυπτογραφημένων επικοινωνιών
Δείτε επίσης: Keralty healthcare: Θύμα επίθεσης ransomware της RansomHouse
Οι παραβιασμένες συσκευές χρησιμοποιούνται για την εξόρυξη κρυπτονομισμάτων και την εκτόξευση επιθέσεων DDoS, με μερικούς από τους προηγούμενους στόχους να είναι εταιρείες gaming και τεχνολογίας, καθώς και κατασκευαστές πολυτελών αυτοκινήτων.
Οι προσπάθειες των προγραμματιστών του botnet περιλάμβαναν την προσθήκη δυνατοτήτων persistence για να αποφύγουν την ανίχνευση, αλλά ευτυχώς αποτράπηκαν.
Εάν το κακόβουλο λογισμικό εντοπιστεί και αφαιρεθεί ή εάν δυσλειτουργήσει με οποιονδήποτε τρόπο και χάσει τη σύνδεσή του με τον command-and-control (C2) server, τότε η διαδικασία ξεκινά από την αρχή.
Αυτό οδήγησε στην κατάρρευση του botnet αφού οι τρέχουσες εκδόσεις του κακόβουλου λογισμικού KmsdBot απενεργοποιήθηκαν ακούσια από τους ερευνητές της Akamai.
«Σε ένα ελεγχόμενο περιβάλλον, μπορέσαμε να στείλουμε εντολές στο bot και να ελέγξουμε τη λειτουργικότητά του και τα attack signatures», δήλωσε ο Larry Cashdollar, ερευνητής ευπάθειας της Akamai σε νέα έκθεση.
«Ένα ελάττωμα λογισμικού προκάλεσε τη διακοπή της έκδοσης εντολών από το bot, σταματώντας ουσιαστικά το botnet.»
Ένα σφάλμα κωδικοποίησης έριξε το KmsdBot, με αποτέλεσμα το κακόβουλο λογισμικό να καταρρεύσει και να σταματήσει να στέλνει εντολές επίθεσης. Το πρόβλημα ήταν η έλλειψη ελέγχου σφαλμάτων στον κώδικα, που οδήγησε στην αποστολή λανθασμένου αριθμού arguments στον C2 server.
Βασικά, όπως εξήγησε η Cashdollar, το crash προκλήθηκε από την έκδοση εντολής επίθεσης όπου έλειπε ο χώρος μεταξύ του ιστότοπου στόχου και της θύρας.
Δείτε επίσης: Lastpass hacked: Παραβιάστηκαν δεδομένα πελατών
«Αυτή η εσφαλμένη εντολή πιθανότατα κατέρριψε όλο τον κώδικα botnet που εκτελούσε σε μολυσμένα μηχανήματα και μιλούσε με το C2 — ουσιαστικά σκοτώνοντας το botnet», πρόσθεσε ο Cashdollar.
«Επειδή το bot δεν έχει καμία λειτουργικότητα για persistence σε ένα μολυσμένο μηχάνημα, ο μόνος τρόπος ανάκτησης είναι να μολύνει ξανά και να ξαναδημιουργεί το botnet από την αρχή.»
Για να αποφύγετε την παραβίαση από botnets που χρησιμοποιούν παρόμοιες τακτικές, συνιστάται στους οργανισμούς να λαμβάνουν τα ακόλουθα μέτρα ασφαλείας:
- Χρήση ασφαλών credentials και αλλαγή των προεπιλεγμένων credentials για servers ή deployed εφαρμογές
- Διασφάλιση ότι όλο το λογισμικό είναι ενημερωμένο
- Χρήση ελέγχου ταυτότητας δημόσιου κλειδιού για συνδέσεις SSH για την αποφυγή παραβιασμού μέσω credential brute-forcing
Πηγή πληροφοριών: bleepingcomputer.com
