Мы тебя обнаружили, мы тебя и убьем: исследователи Akamai случайно отключили ботнет KmsdBot

Инцидент произошел в ходе тестирования ботнета , построенного на вредоносе KmsdBot. Изучая возможности ботнета, исследователи Akamai случайно послали ботам команду с синтаксической ошибкой, что привело к отключению ботнета.

Про ботнет сообщили специалисты Akamai Security Research в середине прошлого месяца. В его основе лежит KmsdBot – написанный на языке Go вредонос, который использует SSH для проникновения в системы жертв. Закрепившись в системе жертвы, вредоносная программа подключает пользователя к ботнету и использует его устройство для майнинга криптовалюты Monero и проведения DDoS-атак. Среди основных целей KmsdBot были игровые компании, ИБ-фирмы и даже производители люксовых автомобилей.

Но почему ботнет удалось отключить одной командой? Как говорят исследователи Akamai, причины всего две:

• Отсутствие механизма, позволяющего закрепиться в зараженной системе. Это означает то, что систему жертвы придется заражать сначала, если он был удален или по какой-то причине потерял связь с C&C-сервером.

• Отсутствие механизма, проверяющего команды на наличие ошибок. В случае с Akamai, сбой работы всего ботнета был вызван выполнением атакующей команды в которой была синтаксическая ошибка – пропущен пробел между адресом целевого сайта и портом.

Скриншот с выполнением неправильной команды.

Как мы говорили выше, у ботнета не было механизма, позволяющего закрепиться в системе жертвы. А раз все боты потеряли связь с C&C-сервером, операторам придется заново заражать жертв и налаживать ботнет.