Les erreurs de syntaxe sont notre destin à tous, y compris les auteurs de botnet

Agrandir / Si vous allez arriver au port 443, mieux vaut ne pas le manquer (ou oublier de mettre un espace entre l’URL et le port).

Getty Images

KmsdBot, un botnet de cryptominage qui pourrait également être utilisé pour des attaques par déni de service (DDOS), a fait irruption dans les systèmes via des informations d’identification de shell sécurisées faibles. Il pouvait contrôler un système à distance, était difficile à rétroconcevoir, ne restait pas persistant et pouvait cibler plusieurs architectures. KmsdBot était un logiciel malveillant complexe sans solution simple.

C’était le cas jusqu’à les chercheurs d’Akamai Security Research ont découvert une nouvelle solution: oubli de mettre un espace entre une adresse IP et un port dans une commande. Et cela venait de celui qui contrôlait le botnet.

En l’absence de vérification des erreurs intégrée, l’envoi d’une commande malformée à KmsdBot, comme ses contrôleurs l’ont fait un jour pendant qu’Akamai regardait, a créé un plantage de panique avec une erreur « index hors plage ». Comme il n’y a pas de persistance, le bot reste inactif et les agents malveillants devraient réinfecter une machine et reconstruire les fonctions du bot. C’est, comme le note Akamai, “une belle histoire” et “un exemple fort de la nature inconstante de la technologie”.

KmsdBot est un malware moderne intrigant. C’est écrit en Golang, en partie parce que Golang est difficile à désosser. Lorsque Le pot de miel d’Akamai a attrapé le malware, il ciblait par défaut une entreprise qui a créé des serveurs privés Grand Theft Auto Online. Il a une capacité de cryptominage, même si elle était latente pendant que l’activité DDOS était en cours d’exécution. Parfois, il voulait attaquer d’autres sociétés de sécurité ou des marques de voitures de luxe.

Les chercheurs d’Akamai démontaient KmsdBot et lui transmettaient des commandes via chat net quand ils ont découvert qu’il avait cessé d’envoyer des commandes d’attaque. C’est à ce moment-là qu’ils ont remarqué qu’il manquait un espace à une attaque contre un site Web axé sur la cryptographie. En supposant que cette commande soit envoyée à toutes les instances de travail de KmsdBot, la plupart d’entre elles se sont écrasées et sont restées inactives. Envoyer à KmsdBot une requête intentionnellement mauvaise l’arrêterait sur un système local, permettant une récupération et une suppression plus faciles.

Larry Cashdollar, ingénieur principal en réponse au renseignement de sécurité chez Akamai, a déclaré à DarkReading que presque toutes les activités de KmsdBot que son entreprise suivait ont cessé, bien que les auteurs tentent peut-être de réinfecter à nouveau les systèmes. Cependant, l’utilisation de l’authentification par clé publique pour les connexions shell sécurisées, ou au minimum l’amélioration des informations d’identification de connexion, est la meilleure défense en premier lieu.

commentaires

LAISSER UN COMMENTAIRE

S'il vous plaît entrez votre commentaire!
S'il vous plaît entrez votre nom ici

Le plus populaire