Erros de sintaxe são a perdição de todos nós, incluindo autores de redes de bots

O KmsdBot, um botnet de criptomineração que também pode ser usado para ataques de negação de serviço (DDOS), invadiu os sistemas por meio de credenciais fracas de shell seguro. Ele podia controlar remotamente um sistema, era difícil fazer engenharia reversa, não permanecia persistente e podia atingir várias arquiteturas. O KmsdBot era um malware complexo sem solução fácil.

Assim foi até pesquisadores da Akamai Security Research testemunharam uma solução inovadora: esquecendo de colocar um espaço entre um endereço IP e uma porta em um comando. E veio de quem estava controlando o botnet.

Sem verificação de erros integrada, enviar ao KmsdBot um comando malformado – como seus controladores fizeram um dia enquanto a Akamai estava assistindo – criou uma falha de pânico com um erro de “índice fora do intervalo”. Como não há persistência, o bot fica inoperante e agentes mal-intencionados precisariam reinfectar uma máquina e reconstruir as funções do bot. É, como observa Akamai, “uma bela história” e “um forte exemplo da natureza inconstante da tecnologia”.

KmsdBot é um malware moderno intrigante. Está escrito em Golang, em parte porque Golang é difícil de fazer engenharia reversa. Quando O honeypot da Akamai detectou o malwareo padrão era segmentar uma empresa que criava Grand Theft Auto Online servidores. Ele tem uma capacidade de criptomineração, embora estivesse latente enquanto a atividade DDOS estava em execução. Às vezes, queria atacar outras empresas de segurança ou marcas de carros de luxo.

Pesquisadores da Akamai estavam desmontando o KmsdBot e alimentando-o com comandos via netcat quando descobriram que ele havia parado de enviar comandos de ataque. Foi quando eles perceberam que um ataque a um site com foco em cripto estava faltando um espaço. Presumindo que o comando foi enviado para todas as instâncias de trabalho do KmsdBot, a maioria delas travava e permanecia inativa. Alimentar o KmsdBot com uma solicitação intencionalmente incorreta iria interrompê-lo em um sistema local, permitindo uma recuperação e remoção mais fáceis.

Larry Cashdollar, principal engenheiro de resposta de inteligência de segurança da Akamai, disse ao DarkReading que quase toda a atividade do KmsdBot que sua empresa estava rastreando cessou, embora os autores possam estar tentando reinfectar os sistemas novamente. Usar a autenticação de chave pública para conexões shell seguras ou, no mínimo, melhorar as credenciais de login é a melhor defesa em primeiro lugar.