.
Em algum lugar, um operador de botnet está se chutando e provavelmente esperando que ninguém tenha notado o erro de digitação que transmitiu em um comando que travou toda a operação.
Infelizmente para o botnetter com problemas tipográficos, aconteceu na internet, então alguém sabe: a Akamai, neste caso, estava observando há algum tempo.
Pior ainda para o(s) operador(es), seu KmsdBot codificado em Golang não tinha persistência, o que significa que todo o botnet é brinde graças à aparente decisão de renunciar ao tratamento de erros.
“Não é todo dia que você se depara com uma botnet que os próprios agentes da ameaça travam. [through] sua própria obra”, disse Larry Cashdollar, pesquisador de vulnerabilidades da Akamai.
Os pesquisadores de segurança da rede de entrega de conteúdo detectaram o KmsdBot pela primeira vez no início deste mês, observando que era perigoso em parte porque usava conexões SSH com credenciais de login fracas para infectar alvos. De acordo com a Akamai, o botnet foi capaz de minerar criptomoedas, mas também foi usado para lançar ataques DDoS, com a maioria de seus alvos associados aos setores automotivo de jogos, tecnologia e luxo.
Como travar sua própria botnet
A Akamai configurou sua própria versão modificada do KmsdBot apontada para um endereço IP interno para usar como um ambiente de teste controlado para monitorar quais comandos estava recebendo de seu servidor C2.
“Durante o teste, notamos que o botnet parou de enviar comandos de ataque após observar um único comando malformado”, disse Cashdollar.
!bigdata www.bitcoin.com443 / 30 3 3 100
O comando provavelmente foi destinado a DDoS Bitcoin.com lançando dados indesejados nele, mas verifique a falta de espaço entre o URL e o número da porta. Ops. O software mais sofisticado saberia como lidar com isso, mas não para o KmsdBot.
Depois de reconstruir o comando e jogá-lo em seu KmsdBot interno, os pesquisadores da Akamai notaram que a falta de espaço entre o URL e o número da porta causava a falha do binário Go, lançando um erro de “índice fora do intervalo” porque o número errado de argumentos foi fornecido .
O comando “provavelmente travou todo o código de botnet que estava sendo executado em máquinas infectadas e conversando com o C2”, disse Cashdollar. “Em nosso mundo de dias zero e esgotamento, ver uma ameaça que pode ser mitigada com o equivalente de codificação a um erro de digitação é uma boa história.” ®
.
